Cette page répertorie les rôles et autorisations requis pour sauvegarder, monter et restaurer des instances Compute Engine.
Rôles requis
Pour sauvegarder, monter et restaurer une instance, nous vous recommandons d'accorder les rôles IAM suivants au compte de service utilisé par le système de sauvegarde/restauration.
Pour obtenir les autorisations nécessaires pour sauvegarder, monter et restaurer des instances Compute Engine, demandez à votre administrateur de vous accorder le rôle IAM Opérateur Compute Engine Backup and DR (roles/backupdr.computeEngineOperator) sur votre projet.
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Si vous préférez utiliser des rôles personnalisés, vous devez inclure toutes les autorisations listées dans la section suivante.
Autorisations précises
Le tableau suivant compare les autorisations précises requises pour différentes opérations Compute Engine.
| Autorisation | Sauvegarde | Montage (existant) | Restauration / Montage (nouveau) |
|---|---|---|---|
| Compute Engine | |||
compute.addresses.list |
Oui | ||
compute.disks.create |
Oui | Oui | |
compute.disks.createSnapshot |
Oui | Oui | |
compute.disks.delete |
Oui | Oui | |
compute.disks.get |
Oui | Oui | Oui |
compute.disks.setLabels |
Oui | ||
compute.disks.use |
Oui | Oui | |
compute.diskTypes.get |
Oui | Oui | |
compute.diskTypes.list |
Oui | Oui | |
compute.firewalls.list |
Oui | ||
compute.globalOperations.get |
Oui | ||
compute.images.create |
Oui | Oui | |
compute.images.delete |
Oui | Oui | |
compute.images.get |
Oui | Oui | |
compute.images.useReadOnly |
Oui | Oui | |
compute.instances.attachDisk |
Oui | Oui | |
compute.instances.create |
Oui | Oui | |
compute.instances.delete |
Oui | Oui | |
compute.instances.detachDisk |
Oui | Oui | |
compute.instances.get |
Oui | Oui | |
compute.instances.list |
Oui | Oui | Oui |
compute.instances.setLabels |
Oui | Oui | |
compute.instances.setMetadata |
Oui | Oui | |
compute.instances.setServiceAccount |
Oui | ||
compute.instances.setTags |
Oui | ||
compute.instances.start |
Oui | ||
compute.instances.stop |
Oui | ||
compute.machineTypes.get |
Oui | ||
compute.machineTypes.list |
Oui | ||
compute.networks.list |
Oui | ||
compute.nodeGroups.get |
Oui | ||
compute.nodeGroups.list |
Oui | ||
compute.nodeTemplates.get |
Oui | ||
compute.projects.get |
Oui | ||
compute.regions.get |
Oui | Oui | Oui |
compute.regions.list |
Oui | ||
compute.regionOperations.get |
Oui | Oui | Oui |
compute.snapshots.create |
Oui | Oui | |
compute.snapshots.delete |
Oui | ||
compute.snapshots.get |
Oui | Oui | |
compute.snapshots.setLabels |
Oui | Oui | |
compute.snapshots.useReadOnly |
Oui | Oui | |
compute.subnetworks.list |
Oui | ||
compute.subnetworks.use |
Oui | ||
compute.subnetworks.useExternalIp |
Oui | ||
compute.zoneOperations.get |
Oui | Oui | |
compute.zones.list |
Oui | Oui | Oui |
| IAM | |||
iam.serviceAccounts.actAs |
Oui | Oui | Oui |
iam.serviceAccounts.get |
Oui | Oui | Oui |
iam.serviceAccounts.list |
Oui | Oui | Oui |
| Resource Manager | |||
resourcemanager.projects.get |
Oui | Oui | Oui |
resourcemanager.projects.list |
Oui |
Autorisations pour CMEK
Si le disque source utilise des clés de chiffrement gérées par le client (CMEK), l'agent de service Compute Engine nécessite le rôle roles/cloudkms.cryptoKeyEncrypterDecrypter sur la clé du projet source.
Pour accorder cette autorisation, procédez comme suit :
- Dans la Google Cloud console, accédez à la page IAM de votre projet cible. Accéder à IAM
- Sélectionnez Inclure les attributions de rôles fournies par Google.
- Recherchez le compte de service Agent de service Compute Engine et copiez son adresse e-mail (le membre).
- Passez au projet source où se trouve la clé KMS.
- Cliquez sur Accorder l'accès et collez l'adresse e-mail du compte de service.
- Sélectionnez le rôle Chiffreur/Déchiffreur de clés cryptographiques Cloud KMS , puis cliquez sur Enregistrer.
Informations connexes
- Identifiants cloud requis pour le système de sauvegarde/restauration
- Découvrir et protéger des instances Compute Engine
- Monter des sauvegardes d'instances Compute Engine
- Restaurer une instance Compute Engine
- Importer des images d'instantanés de disque persistant