En esta página se describen los roles y permisos de gestión de identidades y accesos necesarios para el servicio de copia de seguridad y recuperación tras fallos.Google Cloud Cuando añades nuevas entidades principales a tu proyecto, puedes usar una política de Gestión de Identidades y Accesos (IAM) para asignar a esa entidad principal uno o varios roles de IAM. Cada rol de gestión de identidades y accesos contiene permisos que conceden a las entidades principales acceso para realizar acciones específicas en recursos concretos. Para consultar una lista de referencia de los permisos de gestión de identidades y accesos que se aplican al servicio de copia de seguridad y recuperación tras fallos, consulta Permisos de gestión de identidades y accesos para el servicio de copia de seguridad y recuperación tras fallos.
Cómo controla el acceso la gestión de identidades y accesos
Si una entidad principal (un usuario, un grupo o una cuenta de servicio) llama a una API, debe tener los permisos de gestión de identidades y accesos adecuados para usar el recurso. Google Cloud Para dar a una entidad principal los permisos necesarios, debes concederle un rol de gestión de identidades y accesos. Más información sobre las entidades de IAM
Tipos de roles de gestión de identidades y accesos
El servicio de copias de seguridad y recuperación ante desastres tiene roles predefinidos que son conjuntos de permisos para que se asignen a diferentes principios. Los usuarios también pueden definir roles personalizados que pueden tener una combinación de permisos individuales para conceder acceso a un flujo de trabajo o una acción de copia de seguridad y recuperación ante desastres específicos.
Permisos de gestión de identidades y accesos
Los permisos permiten que los usuarios realicen acciones específicas en recursos concretos. Se pueden agrupar para formar roles. Cada permiso hace referencia a una acción específica que el usuario puede realizar o al acceso que tiene.
Permisos a nivel de proyecto y a nivel de recurso
Los permisos se pueden conceder a nivel de proyecto o de recurso. Por ejemplo, un administrador de Backup and DR puede elegir conceder solo determinados permisos a nivel de segmento de almacenamiento en lugar de a todo el proyecto, en función de su política. Conceder roles a nivel de recurso no afecta a los roles que ya hayas concedido a nivel de proyecto, y viceversa.
Roles de IAM predefinidos para el servicio de copia de seguridad y recuperación tras desastres
El servicio de copias de seguridad y recuperación ante desastres tiene un conjunto de roles de gestión de identidades y accesos predefinidos que se describen en esta página. También puedes crear roles personalizados que contengan subconjuntos de permisos que se ajusten directamente a tus necesidades.
En la siguiente tabla se describen los roles de IAM asociados al servicio Backup and DR y se indican los permisos que contiene cada rol. La descripción de cada permiso se indica en la sección Permisos de gestión de identidades y accesos para el servicio de copia de seguridad y recuperación tras fallos.
| Role | Permissions |
|---|---|
Backup and DR Admin( Provides full access to all Backup and DR resources. |
|
Backup and DR Backup Config Viewer Beta( Provides read access to resource backup config. Resource backup config has the metadata of a Google Cloud resource that can be backed up, along with its backup configurations. |
|
Backup and DR Backup User( Allows the user to apply existing backup plans. This role cannot create backup plans or restore from a backup. |
|
Backup and DR Backup Vault Accessor( Allows the Backup Appliance permissions to create and manage backups in a backup vault. |
|
Backup and DR Backup Vault Admin( Allows the Backup Appliance full administrative control of backup vault resources. |
|
Backup and DR Backup Vault Lister( Allows the Backup Appliance permission to list backup vaults in a given project. |
|
Backup and DR Backup Vault Viewer( Allows read-only permissions to access backup vault resources and backups. |
|
Backup and DR Cloud SQL Operator Beta( Allows a Backup and DR service account to discover and backup Cloud SQL instances. |
|
Backup and DR Cloud Storage Operator( Allows a Backup and DR service account to store and manage data (backups or metadata) in Cloud Storage. |
|
Backup and DR Compute Engine Operator( Allows a Backup and DR service account to discover, back up, and restore Compute Engine VM instances. |
|
Backup and DR Disk Operator Beta( Allows a Backup and DR service account to store and manage data (backups or metadata) in Disk. |
|
Backup and DR Management Server Accessor( Grants the Backup and DR management server access role to Backup Appliances. |
|
Backup and DR Mount User( Allows the user to mount from a backup. This role cannot create a backup plan or restore from a backup. |
|
Backup and DR Restore User( Allows the user to restore or mount from a backup. This role cannot create a backup plan. |
|
Backup and DR Service Agent( Grants the Backup and DR Service access to protect Compute Engine instances. |
|
Backup and DR User( Provides access to management console. Granular Backup and DR permissions depend on ACL configuration provided by Backup and DR admin within the management console. |
|
Backup and DR User V2( Provides full access to Backup and DR resources except deploying and managing backup infrastructure, expiring backups, changing data sensitivity and configuring on-premises billing. |
|
Backup and DR Viewer( Provides read-only access to all Backup and DR resources. |
|
Roles básicos
Los roles básicos son roles a nivel de proyecto anteriores a la gestión de identidades y accesos. Consulta Roles básicos para obtener más información.
Aunque el servicio de copia de seguridad y recuperación tras fallos admite los siguientes roles básicos, te recomendamos que uses uno de los roles predefinidos siempre que sea posible. Los roles básicos incluyen permisos generales que se aplican a todos tus recursos de Google Cloud . Por el contrario, los roles predefinidos de Backup and DR incluyen permisos específicos que solo se aplican a Backup and DR.
| Rol básico de gestión de identidades y accesos | Descripción |
|---|---|
| Editor ( roles/editor) |
Proporciona acceso completo a todos los recursos de Backup and DR. |
| Propietario ( roles/owner) |
Proporciona acceso completo a todos los recursos de Backup and DR. |
Permisos de gestión de identidades y accesos para el servicio de Backup y DR
En la siguiente tabla se indican los permisos de IAM que están asociados al servicio de copia de seguridad y recuperación tras fallos. Los permisos de IAM se agrupan en roles y tú asignas roles a usuarios y grupos.
En la siguiente tabla se muestra la descripción de cada permiso de Backup and DR.
| Nombre del permiso | Descripción |
|---|---|
| backupdr.managementServers.manageClones | Proporciona permisos para crear y gestionar clones a partir de copias de seguridad. |
| backupdr.managementServers.manageLiveClones | Proporciona permisos para crear y gestionar LiveClones a partir de copias de seguridad. |
| backupdr.managementServers.manageMounts | Proporciona permisos para crear y gestionar montajes activos a partir de copias de seguridad. |
| backupdr.managementServers.manageRestores | Proporciona los permisos necesarios para restaurar copias de seguridad. |
| backupdr.managementServers.manageBackups | Proporciona permisos para realizar operaciones de copia de seguridad: Crear copia de seguridad ahora. |
| backupdr.managementServers.viewSystem | Proporciona acceso para ver la configuración del dispositivo de copia de seguridad o recuperación. |
| backupdr.managementServers.manageSystem | Proporciona permisos para configurar dispositivos de copia de seguridad y recuperación, así como el gestor de informes. |
| backupdr.managementServers.viewStorage | Proporciona acceso para ver las configuraciones de almacenamiento y de grupos de discos. |
| backupdr.managementServers.manageStorage | Proporciona permisos para añadir, modificar, eliminar y ver grupos de almacenamiento y de discos. |
| backupdr.managementServers.viewBackupPlans | Proporciona acceso para ver planes de copias de seguridad, plantillas de copias de seguridad y perfiles de recursos. |
| backupdr.managementServers.assignBackupPlans | Proporciona permisos para asignar planes de copias de seguridad preconfigurados (plantillas de copias de seguridad y perfiles de recursos) a aplicaciones o cargas de trabajo. |
| backupdr.managementServers.manageBackupPlans | Proporciona permisos para crear, modificar, eliminar, ver y asignar planes de copias de seguridad (plantillas de copias de seguridad y perfiles de recursos). |
| backupdr.managementServers.testFailOvers | Proporciona permisos para realizar conmutaciones por error de prueba y eliminar operaciones de conmutación por error de prueba en una copia de seguridad de StreamSnap remota. |
| backupdr.managementServers.viewWorkflows | Proporciona acceso para ver los flujos de trabajo de copia de seguridad y recuperación tras fallos que automatizan el acceso a los datos de copia en el servicio de copia de seguridad y recuperación tras fallos. |
| backupdr.managementServers.runWorkflows | Proporciona permisos para ejecutar un flujo de trabajo de Backup and DR preconfigurado que automatiza el acceso a los datos de copia en el servicio Backup and DR. |
| backupdr.managementServers.refreshWorkflows | Proporciona permisos para actualizar un clon que se ha creado mediante un flujo de trabajo de copia de seguridad y recuperación ante desastres que automatiza el acceso a los datos de copia en el servicio de copia de seguridad y recuperación ante desastres. |
| backupdr.managementServers.manageWorkflows | Proporciona permisos para añadir, modificar, eliminar, ejecutar y ver el flujo de trabajo de copia de seguridad y recuperación ante desastres que automatiza el acceso a los datos de copia en el servicio de copia de seguridad y recuperación ante desastres. |
| backupdr.managementServers.manageMirroring | Proporciona permisos para realizar operaciones de conmutación por error, sincronización, limpieza, restauración tras error, prueba de conmutación por error y eliminación de prueba de conmutación por error en una copia de seguridad de StreamSnap remota. |
| backupdr.managementServers.manageHosts | Proporciona permisos para añadir, modificar, quitar y ver hosts (máquinas físicas y virtuales). |
| backupdr.managementServers.manageApplications | Proporciona permisos para gestionar todos los aspectos de las aplicaciones, incluidos los grupos lógicos y los grupos de coherencia, ejecutar copias de seguridad bajo demanda y exportar plantillas. |
| backupdr.managementServers.manageSensitiveData | Proporciona los permisos necesarios para marcar aplicaciones y copias de seguridad como datos sensibles o no sensibles. |
| backupdr.managementServers.accessSensitiveData | Proporciona acceso a aplicaciones y copias de seguridad marcadas como sensibles. |
| backupdr.managementServers.manageBackupServers | Proporciona los permisos necesarios para ejecutar las APIs de Backup Server a través de la consola de gestión. |
| backupdr.managementServers.manageExpiration | Proporciona los permisos necesarios para caducar las copias de seguridad. |
| backupdr.managementServers.access | Proporciona acceso a la consola de gestión y a las APIs asociadas. |
| backupdr.managementServers.onpremUsageUpload | Proporciona acceso a todos los endpoints necesarios para subir el uso a un adaptador local. |
| backupdr.managementServers.viewReports | Proporciona acceso al Gestor de informes para ejecutar informes y ver o descargar los resultados. |
| backupdr.managementServers.manageJobs | Proporciona permisos para cancelar tareas y modificar la prioridad de las tareas. |
| backupdr.managementServers.manageMigrations | Proporciona permisos para gestionar la migración de datos montados como paso final en una operación de restauración o clonación. |