このページでは、Compute Engine インスタンスのバックアップ、マウント、復元に必要なロールと権限について説明します。
必要なロール
インスタンスのバックアップ、マウント、復元を行うには、バックアップ/復元アプライアンスで使用されるサービス アカウントに次の IAM ロールを付与することをおすすめします。
Compute Engine インスタンスのバックアップ、マウント、復元に必要な権限を取得するには、プロジェクトに対する Backup and DR Compute Engine オペレーター (roles/backupdr.computeEngineOperator)IAM ロールの付与を管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
カスタムロールを使用する場合は、次のセクションに記載されているすべての権限を含める必要があります。
きめ細かい権限
次の表に、さまざまな Compute Engine オペレーションに必要なきめ細かい権限を示します。
| 権限 | バックアップ | マウント(既存) | 復元 / マウント(新規) |
|---|---|---|---|
| Compute Engine | |||
compute.addresses.list |
○ | ||
compute.disks.create |
はい | はい | |
compute.disks.createSnapshot |
はい | はい | |
compute.disks.delete |
はい | はい | |
compute.disks.get |
はい | はい | はい |
compute.disks.setLabels |
はい | ||
compute.disks.use |
はい | はい | |
compute.diskTypes.get |
はい | はい | |
compute.diskTypes.list |
はい | はい | |
compute.firewalls.list |
はい | ||
compute.globalOperations.get |
はい | ||
compute.images.create |
はい | はい | |
compute.images.delete |
はい | はい | |
compute.images.get |
はい | はい | |
compute.images.useReadOnly |
はい | はい | |
compute.instances.attachDisk |
はい | はい | |
compute.instances.create |
はい | はい | |
compute.instances.delete |
はい | はい | |
compute.instances.detachDisk |
はい | はい | |
compute.instances.get |
はい | はい | |
compute.instances.list |
はい | はい | はい |
compute.instances.setLabels |
はい | はい | |
compute.instances.setMetadata |
はい | はい | |
compute.instances.setServiceAccount |
はい | ||
compute.instances.setTags |
はい | ||
compute.instances.start |
はい | ||
compute.instances.stop |
はい | ||
compute.machineTypes.get |
はい | ||
compute.machineTypes.list |
はい | ||
compute.networks.list |
はい | ||
compute.nodeGroups.get |
はい | ||
compute.nodeGroups.list |
はい | ||
compute.nodeTemplates.get |
はい | ||
compute.projects.get |
はい | ||
compute.regions.get |
はい | はい | はい |
compute.regions.list |
はい | ||
compute.regionOperations.get |
はい | はい | はい |
compute.snapshots.create |
はい | はい | |
compute.snapshots.delete |
はい | ||
compute.snapshots.get |
はい | はい | |
compute.snapshots.setLabels |
はい | はい | |
compute.snapshots.useReadOnly |
はい | はい | |
compute.subnetworks.list |
はい | ||
compute.subnetworks.use |
はい | ||
compute.subnetworks.useExternalIp |
はい | ||
compute.zoneOperations.get |
はい | はい | |
compute.zones.list |
はい | はい | ○ |
| IAM | |||
iam.serviceAccounts.actAs |
○ | はい | はい |
iam.serviceAccounts.get |
はい | はい | はい |
iam.serviceAccounts.list |
はい | はい | ○ |
| Resource Manager | |||
resourcemanager.projects.get |
○ | はい | はい |
resourcemanager.projects.list |
○ |
CMEK の権限
ソースディスクが顧客管理の暗号鍵(CMEK)を使用している場合、Compute Engine サービス エージェントには、ソース プロジェクトの鍵に対する roles/cloudkms.cryptoKeyEncrypterDecrypter ロールが必要です。
この権限を付与する手順は次のとおりです。
- Google Cloud コンソールで、ターゲット プロジェクトの [IAM] ページに移動します。[IAM] に移動
- [Google 提供のロール付与を含む] を選択します。
- Compute Engine サービス エージェント サービス アカウントを見つけて、そのメールアドレス(プリンシパル)をコピーします。
- KMS 鍵が配置されているソース プロジェクトに切り替えます。
- [アクセスを許可] をクリックし、サービス アカウントのメールアドレスを貼り付けます。
- [Cloud KMS 暗号鍵の暗号化/復号] ロールを選択し、[保存] をクリックします。
関連情報
- バックアップ/リカバリ アプライアンスに必要なクラウド認証情報
- Compute Engine インスタンスを検出して保護する
- Compute Engine インスタンスのバックアップをマウントする
- Compute Engine インスタンスを復元する
- 永続ディスクのスナップショット イメージをインポートする