Halaman ini mencantumkan peran dan izin yang diperlukan untuk mencadangkan, memasang, dan memulihkan instance Compute Engine.
Peran yang diperlukan
Untuk mencadangkan, memasang, dan memulihkan instance, sebaiknya berikan peran IAM berikut ke akun layanan yang digunakan oleh appliance pencadangan/pemulihan.
Untuk mendapatkan izin yang diperlukan untuk mencadangkan, memasang, dan memulihkan instance Compute Engine, minta administrator untuk memberi Anda peran IAM Backup and DR Compute Engine Operator (roles/backupdr.computeEngineOperator) di project Anda.
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Jika Anda lebih memilih menggunakan peran khusus, Anda harus menyertakan semua izin yang tercantum di bagian berikut.
Izin terperinci
Tabel berikut membandingkan izin terperinci yang diperlukan untuk berbagai operasi Compute Engine.
| Izin | Cadangan | Dudukan (saat ini) | Pulihkan / Pasang (baru) |
|---|---|---|---|
| Compute Engine | |||
compute.addresses.list |
Ya | ||
compute.disks.create |
Ya | Ya | |
compute.disks.createSnapshot |
Ya | Ya | |
compute.disks.delete |
Ya | Ya | |
compute.disks.get |
Ya | Ya | Ya |
compute.disks.setLabels |
Ya | ||
compute.disks.use |
Ya | Ya | |
compute.diskTypes.get |
Ya | Ya | |
compute.diskTypes.list |
Ya | Ya | |
compute.firewalls.list |
Ya | ||
compute.globalOperations.get |
Ya | ||
compute.images.create |
Ya | Ya | |
compute.images.delete |
Ya | Ya | |
compute.images.get |
Ya | Ya | |
compute.images.useReadOnly |
Ya | Ya | |
compute.instances.attachDisk |
Ya | Ya | |
compute.instances.create |
Ya | Ya | |
compute.instances.delete |
Ya | Ya | |
compute.instances.detachDisk |
Ya | Ya | |
compute.instances.get |
Ya | Ya | |
compute.instances.list |
Ya | Ya | Ya |
compute.instances.setLabels |
Ya | Ya | |
compute.instances.setMetadata |
Ya | Ya | |
compute.instances.setServiceAccount |
Ya | ||
compute.instances.setTags |
Ya | ||
compute.instances.start |
Ya | ||
compute.instances.stop |
Ya | ||
compute.machineTypes.get |
Ya | ||
compute.machineTypes.list |
Ya | ||
compute.networks.list |
Ya | ||
compute.nodeGroups.get |
Ya | ||
compute.nodeGroups.list |
Ya | ||
compute.nodeTemplates.get |
Ya | ||
compute.projects.get |
Ya | ||
compute.regions.get |
Ya | Ya | Ya |
compute.regions.list |
Ya | ||
compute.regionOperations.get |
Ya | Ya | Ya |
compute.snapshots.create |
Ya | Ya | |
compute.snapshots.delete |
Ya | ||
compute.snapshots.get |
Ya | Ya | |
compute.snapshots.setLabels |
Ya | Ya | |
compute.snapshots.useReadOnly |
Ya | Ya | |
compute.subnetworks.list |
Ya | ||
compute.subnetworks.use |
Ya | ||
compute.subnetworks.useExternalIp |
Ya | ||
compute.zoneOperations.get |
Ya | Ya | |
compute.zones.list |
Ya | Ya | Ya |
| IAM | |||
iam.serviceAccounts.actAs |
Ya | Ya | Ya |
iam.serviceAccounts.get |
Ya | Ya | Ya |
iam.serviceAccounts.list |
Ya | Ya | Ya |
| Resource Manager | |||
resourcemanager.projects.get |
Ya | Ya | Ya |
resourcemanager.projects.list |
Ya |
Izin untuk CMEK
Jika disk sumber menggunakan kunci enkripsi yang dikelola pelanggan (CMEK), agen layanan Compute Engine memerlukan peran roles/cloudkms.cryptoKeyEncrypterDecrypter pada kunci di project sumber.
Untuk memberikan izin ini, ikuti langkah-langkah berikut:
- Di konsol Google Cloud , buka halaman IAM untuk project target Anda. Buka IAM
- Pilih Sertakan pemberian peran yang disediakan Google.
- Temukan akun layanan Compute Engine Service Agent dan salin alamat emailnya (principal).
- Beralih ke project sumber tempat kunci KMS berada.
- Klik Grant Access dan tempel email akun layanan.
- Pilih peran Cloud KMS CryptoKey Encrypter/Decrypter, lalu klik Save.
Informasi terkait
- Kredensial cloud yang diperlukan untuk perangkat backup/pemulihan
- Menemukan dan melindungi instance Compute Engine
- Memasang cadangan instance Compute Engine
- Memulihkan instance Compute Engine
- Mengimpor image snapshot persistent disk