Compute Engine インスタンスのバックアップ、マウント、復元を行うための IAM ロールと権限

このページでは、Compute Engine インスタンスのバックアップ、マウント、復元に必要な IAM ロールと権限について説明します。

IAM のロールと権限

インスタンスをバックアップ、マウント、復元するには、バックアップ/リカバリ アプライアンスのサービス アカウントに Backup and DR Compute Engine Operator ロールを割り当てるか、カスタムロールを作成し、このページに記載されているすべての権限を割り当てる必要があります。

次のリストに、Compute Engine インスタンスのバックアップ、マウント、復元に必要な事前定義された Compute Engine IAM 権限を示します。

  • Compute Engine インスタンスをバックアップする

    • compute.disks.createSnapshot
    • compute.disks.get
    • compute.instances.list
    • compute.instances.setLabels
    • compute.regions.get
    • compute.regionOperations.get
    • compute.snapshots.create
    • compute.snapshots.delete
    • compute.snapshots.get
    • compute.snapshots.setLabels
    • compute.snapshots.useReadOnly
    • compute.zones.list
    • compute.zoneOperations.get
    • iam.serviceAccounts.actAs
    • iam.serviceAccounts.get
    • iam.serviceAccounts.list
    • resourcemanager.projects.get
    • resourcemanager.projects.list

  • 既存の Compute Engine インスタンスにマウントする

    • compute.disks.create
    • compute.disks.delete
    • compute.disks.get
    • compute.disks.use
    • compute.diskTypes.get
    • compute.diskTypes.list
    • compute.images.create
    • compute.images.delete
    • compute.images.get
    • compute.images.useReadOnly
    • compute.instances.attachDisk
    • compute.instances.create
    • compute.instances.delete
    • compute.instances.detachDisk
    • compute.instances.get
    • compute.instances.list
    • compute.instances.setMetadata
    • compute.regions.get
    • compute.regions.list
    • compute.regionOperations.get
    • compute.zones.list
    • iam.serviceAccounts.actAs
    • iam.serviceAccounts.get
    • iam.serviceAccounts.list
    • resourcemanager.projects.get

  • 新しい Compute Engine インスタンスにマウントしてインスタンスを復元する

    • compute.addresses.list
    • compute.diskTypes.get
    • compute.diskTypes.list
    • compute.disks.create
    • compute.disks.createSnapshot
    • compute.disks.delete
    • compute.disks.get
    • compute.disks.setLabels
    • compute.disks.use
    • compute.firewalls.list
    • compute.globalOperations.get
    • compute.images.create
    • compute.images.delete
    • compute.images.get
    • compute.images.useReadOnly
    • compute.instances.attachDisk
    • compute.instances.create
    • compute.instances.delete
    • compute.instances.detachDisk
    • compute.instances.get
    • compute.instances.list
    • compute.instances.setLabels
    • compute.instances.setMetadata
    • compute.instances.setServiceAccount
    • compute.instances.setTags
    • compute.instances.start
    • compute.instances.stop
    • compute.machineTypes.get
    • compute.machineTypes.list
    • compute.networks.list
    • compute.nodeGroups.list
    • compute.nodeGroups.get
    • compute.nodeTemplates.get
    • compute.projects.get
    • compute.regions.get
    • compute.regionOperations.get
    • compute.snapshots.create
    • compute.snapshots.get
    • compute.snapshots.setLabels
    • compute.snapshots.useReadOnly
    • compute.subnetworks.list
    • compute.subnetworks.use
    • compute.subnetworks.useExternalIp
    • compute.zoneOperations.get
    • compute.zones.list
    • iam.serviceAccounts.actAs
    • iam.serviceAccounts.get
    • iam.serviceAccounts.list
    • resourcemanager.projects.get

顧客管理の暗号鍵を使用して Compute Engine インスタンスをマウントする権限

ソースディスクがカスタマー マネージド暗号鍵(CMEK)を使用している場合に、Compute Engine バックアップ イメージを既存または新しい Compute Engine インスタンスとしてマウントするには、ターゲット プロジェクトから Compute Engine サービス エージェントのサービス アカウント名をコピーし、ソース プロジェクトに追加して、次のようにロール CryptoKey Encrypter/Decrypter を割り当てる必要があります。

CMEK を使用するときに権限を追加する手順は次のとおりです。

  1. [Project] プルダウンから、ターゲット プロジェクトを選択します。
  2. 左側のナビゲーション メニューで、[IAM と管理] > [IAM] に移動します。
  3. [Google 提供のロール付与を含む] を選択します。
  4. Compute Engine サービス エージェントのサービス アカウントを見つけて、プリンシパルの ID をコピーします。これはメールアドレス形式です(my-service-account@my-project など)。iam.gserviceaccount.com
  5. 鍵が作成されたソース プロジェクトを [プロジェクト] プルダウンから選択します。
  6. 左側のナビゲーション メニューで、[IAM と管理] > [IAM] に移動します。
  7. [アクセス権を付与] を選択します。
  8. [プリンシパルを追加] に、ターゲット プロジェクトの Compute Engine サービス エージェントの ID を貼り付けます。
  9. [ロールを割り当てる] で、Cloud KMS CryptoKey Encrypter/Decrypter ロールを割り当てます。
  10. [保存] を選択します。

バックアップと DR の Compute Engine ガイド