이 페이지에는 Compute Engine 인스턴스를 백업, 마운트, 복원하는 데 필요한 역할과 권한이 나와 있습니다.
필요한 역할
인스턴스를 백업, 마운트, 복원하려면 백업/복구 어플라이언스에서 사용하는 서비스 계정에 다음 IAM 역할을 부여하는 것이 좋습니다.
Compute Engine 인스턴스를 백업, 마운트, 복원하는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 백업 및 DR Compute Engine 운영자 (roles/backupdr.computeEngineOperator) IAM 역할을 부여해 달라고 요청하세요.
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
커스텀 역할을 사용하려면 다음 섹션에 나열된 모든 권한을 포함해야 합니다.
세분화된 권한
다음 표에서는 다양한 Compute Engine 작업에 필요한 세분화된 권한을 비교합니다.
| 권한 | 백업 | 마운트 (기존) | 복원 / 마운트 (신규) |
|---|---|---|---|
| Compute Engine | |||
compute.addresses.list |
예 | ||
compute.disks.create |
예 | 예 | |
compute.disks.createSnapshot |
예 | 예 | |
compute.disks.delete |
예 | 예 | |
compute.disks.get |
예 | 예 | 예 |
compute.disks.setLabels |
예 | ||
compute.disks.use |
예 | 예 | |
compute.diskTypes.get |
예 | 예 | |
compute.diskTypes.list |
예 | 예 | |
compute.firewalls.list |
예 | ||
compute.globalOperations.get |
예 | ||
compute.images.create |
예 | 예 | |
compute.images.delete |
예 | 예 | |
compute.images.get |
예 | 예 | |
compute.images.useReadOnly |
예 | 예 | |
compute.instances.attachDisk |
예 | 예 | |
compute.instances.create |
예 | 예 | |
compute.instances.delete |
예 | 예 | |
compute.instances.detachDisk |
예 | 예 | |
compute.instances.get |
예 | 예 | |
compute.instances.list |
예 | 예 | 예 |
compute.instances.setLabels |
예 | 예 | |
compute.instances.setMetadata |
예 | 예 | |
compute.instances.setServiceAccount |
예 | ||
compute.instances.setTags |
예 | ||
compute.instances.start |
예 | ||
compute.instances.stop |
예 | ||
compute.machineTypes.get |
예 | ||
compute.machineTypes.list |
예 | ||
compute.networks.list |
예 | ||
compute.nodeGroups.get |
예 | ||
compute.nodeGroups.list |
예 | ||
compute.nodeTemplates.get |
예 | ||
compute.projects.get |
예 | ||
compute.regions.get |
예 | 예 | 예 |
compute.regions.list |
예 | ||
compute.regionOperations.get |
예 | 예 | 예 |
compute.snapshots.create |
예 | 예 | |
compute.snapshots.delete |
예 | ||
compute.snapshots.get |
예 | 예 | |
compute.snapshots.setLabels |
예 | 예 | |
compute.snapshots.useReadOnly |
예 | 예 | |
compute.subnetworks.list |
예 | ||
compute.subnetworks.use |
예 | ||
compute.subnetworks.useExternalIp |
예 | ||
compute.zoneOperations.get |
예 | 예 | |
compute.zones.list |
예 | 예 | 예 |
| IAM | |||
iam.serviceAccounts.actAs |
예 | 예 | 예 |
iam.serviceAccounts.get |
예 | 예 | 예 |
iam.serviceAccounts.list |
예 | 예 | 예 |
| Resource Manager | |||
resourcemanager.projects.get |
예 | 예 | 예 |
resourcemanager.projects.list |
예 |
CMEK 권한
소스 디스크가 고객 관리 암호화 키 (CMEK)를 사용하는 경우 Compute Engine 서비스 에이전트에는 소스 프로젝트의 키에 대한 roles/cloudkms.cryptoKeyEncrypterDecrypter 역할이 필요합니다.
이 권한을 부여하려면 다음 단계를 따르세요.
- 콘솔에서 대상 프로젝트의 IAM 페이지로 이동합니다. Google Cloud IAM으로 이동
- Google 제공 역할 부여 포함 을 선택합니다.
- Compute Engine 서비스 에이전트 서비스 계정을 찾고 이메일 주소 (주 구성원)를 복사합니다.
- KMS 키가 있는 소스 프로젝트 로 전환합니다.
- 액세스 권한 부여 를 클릭하고 서비스 계정 이메일을 붙여넣습니다.
- Cloud KMS CryptoKey 암호화/복호화 역할을 선택하고 저장 을 클릭합니다.
관련 정보
- 백업/복구 어플라이언스에 필요한 클라우드 사용자 인증 정보
- Compute Engine 인스턴스 검색 및 보호
- Compute Engine 인스턴스 백업 마운트
- Compute Engine 인스턴스 복원
- 영구 디스크 스냅샷 이미지 가져오기