Rôles et autorisations IAM pour sauvegarder, monter et restaurer des instances Compute Engine

Cette page liste les rôles et autorisations IAM requis pour sauvegarder, monter et restaurer une instance Compute Engine.

Rôles et autorisations IAM

Pour sauvegarder, monter et restaurer une instance, vous devez attribuer le rôle Backup and DR Compute Engine Operator au compte de service de l'appliance de sauvegarde/restauration, ou créer un rôle personnalisé et attribuer toutes les autorisations listées sur cette page.

Vous trouverez ci-dessous la liste des autorisations IAM Compute Engine prédéfinies requises pour sauvegarder, monter et restaurer des instances Compute Engine.

• Instance Compute Engine de sauvegarde

  • compute.disks.createSnapshot
  • compute.disks.get
  • compute.instances.list
  • compute.instances.setLabels
  • compute.regions.get
  • compute.regionOperations.get
  • compute.snapshots.create
  • compute.snapshots.delete
  • compute.snapshots.get
  • compute.snapshots.setLabels
  • compute.snapshots.useReadOnly
  • compute.zones.list
  • compute.zoneOperations.get
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

• Monter sur une instance Compute Engine existante

  • compute.disks.create
  • compute.disks.delete
  • compute.disks.get
  • compute.disks.use
  • compute.diskTypes.get
  • compute.diskTypes.list
  • compute.images.create
  • compute.images.delete
  • compute.images.get
  • compute.images.useReadOnly
  • compute.instances.attachDisk
  • compute.instances.create
  • compute.instances.delete
  • compute.instances.detachDisk
  • compute.instances.get
  • compute.instances.list
  • compute.instances.setMetadata
  • compute.regions.get
  • compute.regions.list
  • compute.regionOperations.get
  • compute.zones.list
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get

• Monter sur une nouvelle instance Compute Engine et restaurer l'instance

  • compute.addresses.list
  • compute.diskTypes.get
  • compute.diskTypes.list
  • compute.disks.create
  • compute.disks.createSnapshot
  • compute.disks.delete
  • compute.disks.get
  • compute.disks.setLabels
  • compute.disks.use
  • compute.firewalls.list
  • compute.globalOperations.get
  • compute.images.create
  • compute.images.delete
  • compute.images.get
  • compute.images.useReadOnly
  • compute.instances.attachDisk
  • compute.instances.create
  • compute.instances.delete
  • compute.instances.detachDisk
  • compute.instances.get
  • compute.instances.list
  • compute.instances.setLabels
  • compute.instances.setMetadata
  • compute.instances.setServiceAccount
  • compute.instances.setTags
  • compute.instances.start
  • compute.instances.stop
  • compute.machineTypes.get
  • compute.machineTypes.list
  • compute.networks.list
  • compute.nodeGroups.list
  • compute.nodeGroups.get
  • compute.nodeTemplates.get
  • compute.projects.get
  • compute.regions.get
  • compute.regionOperations.get
  • compute.snapshots.create
  • compute.snapshots.get
  • compute.snapshots.setLabels
  • compute.snapshots.useReadOnly
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.zoneOperations.get
  • compute.zones.list
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get

Autorisations permettant de monter une instance Compute Engine avec des clés de chiffrement gérées par le client

Pour monter une image de sauvegarde Compute Engine en tant qu'instance Compute Engine existante ou nouvelle, où le disque source utilise des clés de chiffrement gérées par le client (CMEK), vous devez copier le nom du compte de service de l'agent de service Compute Engine à partir du projet cible, l'ajouter au projet source et attribuer le rôle CryptoKey Encrypter/Decrypter comme indiqué ci-dessous.

Suivez les instructions ci-dessous pour ajouter des autorisations lorsque vous utilisez CMEK:

1. Dans la liste déroulante Project (Projet), sélectionnez votre projet cible.
2. Dans le menu de navigation de gauche, accédez à IAM et administration > IAM.
3. Sélectionnez Inclure les attributions de rôles fournies par Google.
4. Recherchez le compte de service Agent de service Compute Engine, puis copiez l'ID du principal. Il s'agit d'un format d'adresse e-mail, par exemple mon-compte-de-service@mon-projet.iam.gserviceaccount.com.
5. Sélectionnez votre projet source dans la liste déroulante Project (Projet) où la clé a été créée.
6. Dans le menu de navigation de gauche, accédez à IAM et administration > IAM.
7. Sélectionnez Accorder l'accès.
8. Dans Ajouter des comptes principaux, collez l'ID de l'agent de service Compute Engine du projet cible.
9. Dans Attribuer des rôles, attribuez le rôle Cloud KMS CryptoKey Encrypter/Decrypter.
10. Sélectionnez Enregistrer.

Guide Compute Engine de sauvegarde et de reprise après sinistre

• Vérifier les identifiants cloud
• Découvrir et protéger les instances Compute Engine
• Monter des images de sauvegarde d'instances Compute Engine
• Restaurer une instance Compute Engine
• Importer des images d'instantanés de disque persistant