Auf dieser Seite sind die Rollen und Berechtigungen aufgeführt, die zum Sichern, Mounten und Wiederherstellen von Compute Engine-Instanzen erforderlich sind.
Erforderliche Rollen
Zum Sichern, Bereitstellen und Wiederherstellen einer Instanz empfehlen wir, dem Dienstkonto, das von der Sicherungs-/Wiederherstellungs-Appliance verwendet wird, die folgenden IAM-Rollen zuzuweisen.
Bitten Sie Ihren Administrator, Ihnen die
IAM-Rolle „Backup und DR Compute Engine Operator“ (roles/backupdr.computeEngineOperator) für Ihr Projekt zuzuweisen,
um die Berechtigungen zu erhalten, die
Sie zum Sichern, Bereitstellen und Wiederherstellen von Compute Engine-Instanzen benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Wenn Sie benutzerdefinierte Rollen verwenden möchten, müssen Sie alle im folgenden Abschnitt aufgeführten Berechtigungen einschließen.
Detaillierte Berechtigungen
In der folgenden Tabelle werden die detaillierten Berechtigungen verglichen, die für verschiedene Compute Engine-Vorgänge erforderlich sind.
| Berechtigung | Sicherung | Mount (bestehend) | Wiederherstellen / Mount (neu) |
|---|---|---|---|
| Compute Engine | |||
compute.addresses.list |
Ja | ||
compute.disks.create |
Ja | Ja | |
compute.disks.createSnapshot |
Ja | Ja | |
compute.disks.delete |
Ja | Ja | |
compute.disks.get |
Ja | Ja | Ja |
compute.disks.setLabels |
Ja | ||
compute.disks.use |
Ja | Ja | |
compute.diskTypes.get |
Ja | Ja | |
compute.diskTypes.list |
Ja | Ja | |
compute.firewalls.list |
Ja | ||
compute.globalOperations.get |
Ja | ||
compute.images.create |
Ja | Ja | |
compute.images.delete |
Ja | Ja | |
compute.images.get |
Ja | Ja | |
compute.images.useReadOnly |
Ja | Ja | |
compute.instances.attachDisk |
Ja | Ja | |
compute.instances.create |
Ja | Ja | |
compute.instances.delete |
Ja | Ja | |
compute.instances.detachDisk |
Ja | Ja | |
compute.instances.get |
Ja | Ja | |
compute.instances.list |
Ja | Ja | Ja |
compute.instances.setLabels |
Ja | Ja | |
compute.instances.setMetadata |
Ja | Ja | |
compute.instances.setServiceAccount |
Ja | ||
compute.instances.setTags |
Ja | ||
compute.instances.start |
Ja | ||
compute.instances.stop |
Ja | ||
compute.machineTypes.get |
Ja | ||
compute.machineTypes.list |
Ja | ||
compute.networks.list |
Ja | ||
compute.nodeGroups.get |
Ja | ||
compute.nodeGroups.list |
Ja | ||
compute.nodeTemplates.get |
Ja | ||
compute.projects.get |
Ja | ||
compute.regions.get |
Ja | Ja | Ja |
compute.regions.list |
Ja | ||
compute.regionOperations.get |
Ja | Ja | Ja |
compute.snapshots.create |
Ja | Ja | |
compute.snapshots.delete |
Ja | ||
compute.snapshots.get |
Ja | Ja | |
compute.snapshots.setLabels |
Ja | Ja | |
compute.snapshots.useReadOnly |
Ja | Ja | |
compute.subnetworks.list |
Ja | ||
compute.subnetworks.use |
Ja | ||
compute.subnetworks.useExternalIp |
Ja | ||
compute.zoneOperations.get |
Ja | Ja | |
compute.zones.list |
Ja | Ja | Ja |
| IAM | |||
iam.serviceAccounts.actAs |
Ja | Ja | Ja |
iam.serviceAccounts.get |
Ja | Ja | Ja |
iam.serviceAccounts.list |
Ja | Ja | Ja |
| Resource Manager | |||
resourcemanager.projects.get |
Ja | Ja | Ja |
resourcemanager.projects.list |
Ja |
Berechtigungen für CMEK
Wenn das Quelllaufwerk kundenverwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) verwendet, benötigt der Compute Engine-Dienst-Agent die Rolle roles/cloudkms.cryptoKeyEncrypterDecrypter für den Schlüssel im Quellprojekt.
So gewähren Sie diese Berechtigung:
- Rufen Sie in der Google Cloud Console die Seite IAM für Ihr Zielprojekt auf. IAM aufrufen
- Wählen Sie Von Google bereitgestellte Rollenzuweisungen einschließen aus.
- Suchen Sie das Dienstkonto Compute Engine-Dienst-Agent und kopieren Sie die E-Mail-Adresse (das Hauptkonto).
- Wechseln Sie zum Quellprojekt , in dem sich der KMS-Schlüssel befindet.
- Klicken Sie auf Zugriff gewähren und fügen Sie die E-Mail-Adresse des Dienstkontos ein.
- Wählen Sie die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler aus und klicken Sie auf Speichern.
Weitere Informationen
- Für die Sicherungs-/Wiederherstellungs-Appliance erforderliche Cloud-Anmeldedaten
- Compute Engine-Instanzen ermitteln und schützen
- Sicherungen von Compute Engine-Instanzen mounten
- Compute Engine-Instanz wiederherstellen
- Snapshots von nichtflüchtigen Speichern importieren