Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Ruoli e autorizzazioni IAM richiesti per eseguire il backup, il montaggio e il ripristino delle istanze Compute Engine nella console di gestione dell'appliance

Questa pagina elenca i ruoli e le autorizzazioni necessari per eseguire il backup, il montaggio e il ripristino delle istanze Compute Engine.

Ruoli obbligatori

Per eseguire il backup, il montaggio e il ripristino di un'istanza, ti consigliamo di concedere i seguenti ruoli IAM al account di servizio utilizzato dall'appliance di backup/ripristino.

Per ottenere le autorizzazioni necessarie per eseguire il backup, il montaggio e il ripristino delle istanze Compute Engine, chiedi all'amministratore di concederti il ruolo IAM Backup e DR Compute Engine Operator (roles/backupdr.computeEngineOperator) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Se preferisci utilizzare i ruoli personalizzati, devi includere tutte le autorizzazioni elencate nella sezione seguente.

Autorizzazioni granulari

La tabella seguente confronta le autorizzazioni granulari richieste per le diverse operazioni di Compute Engine.

Autorizzazione	Backup	Montaggio (esistente)	Ripristino / Montaggio (nuovo)
Compute Engine
`compute.addresses.list`			Yes
`compute.disks.create`		Sì	Sì
`compute.disks.createSnapshot`	Sì		Sì
`compute.disks.delete`		Sì	Sì
`compute.disks.get`	Sì	Sì	Sì
`compute.disks.setLabels`			Sì
`compute.disks.use`		Sì	Sì
`compute.diskTypes.get`		Sì	Sì
`compute.diskTypes.list`		Sì	Sì
`compute.firewalls.list`			Sì
`compute.globalOperations.get`			Sì
`compute.images.create`		Sì	Sì
`compute.images.delete`		Sì	Sì
`compute.images.get`		Sì	Sì
`compute.images.useReadOnly`		Sì	Sì
`compute.instances.attachDisk`		Sì	Sì
`compute.instances.create`		Sì	Sì
`compute.instances.delete`		Sì	Sì
`compute.instances.detachDisk`		Sì	Sì
`compute.instances.get`		Sì	Sì
`compute.instances.list`	Sì	Sì	Sì
`compute.instances.setLabels`	Sì		Sì
`compute.instances.setMetadata`		Sì	Sì
`compute.instances.setServiceAccount`			Sì
`compute.instances.setTags`			Sì
`compute.instances.start`			Sì
`compute.instances.stop`			Sì
`compute.machineTypes.get`			Sì
`compute.machineTypes.list`			Sì
`compute.networks.list`			Sì
`compute.nodeGroups.get`			Sì
`compute.nodeGroups.list`			Sì
`compute.nodeTemplates.get`			Sì
`compute.projects.get`			Sì
`compute.regions.get`	Sì	Sì	Sì
`compute.regions.list`		Sì
`compute.regionOperations.get`	Sì	Sì	Sì
`compute.snapshots.create`	Sì		Sì
`compute.snapshots.delete`	Sì
`compute.snapshots.get`	Sì		Sì
`compute.snapshots.setLabels`	Sì		Sì
`compute.snapshots.useReadOnly`	Sì		Sì
`compute.subnetworks.list`			Sì
`compute.subnetworks.use`			Sì
`compute.subnetworks.useExternalIp`			Sì
`compute.zoneOperations.get`	Sì		Sì
`compute.zones.list`	Sì	Sì	Yes
IAM
`iam.serviceAccounts.actAs`	Yes	Sì	Sì
`iam.serviceAccounts.get`	Sì	Sì	Sì
`iam.serviceAccounts.list`	Sì	Sì	Yes
Resource Manager
`resourcemanager.projects.get`	Yes	Sì	Sì
`resourcemanager.projects.list`	Yes

Autorizzazioni per CMEK

Se il disco di origine utilizza le chiavi di crittografia gestite dal cliente (CMEK), l'agente di servizio Compute Engine richiede il ruolo roles/cloudkms.cryptoKeyEncrypterDecrypter sulla chiave nel progetto di origine.

Per concedere questa autorizzazione:

Nella Google Cloud console, vai alla pagina IAM del progetto di destinazione. Vai a IAM
Seleziona Includi concessioni di ruoli fornite da Google.
Trova il account di servizio Agente di servizio Compute Engine e copia il relativo indirizzo email (l'entità).
Passa al progetto di origine in cui si trova la chiave KMS.
Fai clic su Concedi accesso e incolla l'indirizzo email del account di servizio.
Seleziona il ruolo Cloud KMS CryptoKey Encrypter/Decrypter e fai clic su Salva.