このページでは、Google Cloud のバックアップと DR サービスに必要な IAM ロールと権限について説明します。プロジェクトに新しいプリンシパルを追加する際は、Identity and Access Management(IAM)ポリシーを使用して、そのプリンシパルに 1 つ以上の IAM ロールを付与できます。各 IAM ロールには、プリンシパルに特定のリソースに対する特定のアクションを実行するアクセス権を付与する権限が含まれています。Backup and DR Service に適用される IAM 権限のリファレンス リストについては、Backup and DR Service の IAM 権限をご覧ください。
IAM によるアクセス制御の仕組み
プリンシパル(ユーザー、グループ、サービス アカウント)が Google Cloud API を呼び出す場合、そのプリンシパルにはリソースを使用するための適切な IAM 権限が必要です。プリンシパルに必要な権限を付与するには、プリンシパルに IAM ロールを付与します。IAM におけるプリンシパルの詳細
IAM ロールのタイプ
Backup and DR Service には、異なるプリンシパルに割り当てることができる権限がバンドルされた事前定義ロールがあります。ユーザーは、特定のバックアップと DR ワークフローまたはアクションを実行するためのアクセス権を付与する個々の権限を組み合わせたカスタムロールを定義することもできます。
IAM 権限
権限により、ユーザーは特定のリソースに対して特定の操作を行うことができます。これらをグループ化してロールを形成できます。各権限は、ユーザーが実行できる特定のアクションまたはアクセス権を指します。
プロジェクト レベルとリソースレベルの権限
権限は、プロジェクト レベルまたはリソースレベルで付与できます。たとえば、バックアップと DR の管理者は、ポリシーに応じて、プロジェクト全体ではなく、ストレージ バケット レベルで特定の権限のみを付与できます。リソースレベルでロールを付与しても、プロジェクト レベルで付与した既存のロールに影響はありません。また、その逆も同様です。
バックアップと DR サービスの事前定義された IAM ロール
バックアップと DR サービスには、このページで説明する一連の事前定義された IAM ロールがあります。また、ニーズに直接対応する権限のサブセットを含むカスタムロールを作成することもできます。
次の表に、バックアップと DR サービスに関連付けられている IAM ロールと、各ロールに含まれている権限を示します。各権限の説明については、バックアップと DR サービスの IAM 権限のセクションをご覧ください。
| Role | Permissions |
|---|---|
Backup and DR Admin( Provides full access to all Backup and DR resources. |
|
Backup and DR Backup Config Viewer Beta( Provides read access to resource backup config. Resource backup config has the metadata of a Google Cloud resource that can be backed up, along with its backup configurations. |
|
Backup and DR Backup User( Allows the user to apply existing backup plans. This role cannot create backup plans or restore from a backup. |
|
Backup and DR Backup Vault Accessor( Allows the Backup Appliance permissions to create and manage backups in a backup vault. |
|
Backup and DR Backup Vault Admin( Allows the Backup Appliance full administrative control of backup vault resources. |
|
Backup and DR Backup Vault Lister( Allows the Backup Appliance permission to list backup vaults in a given project. |
|
Backup and DR Backup Vault Viewer( Allows read-only permissions to access backup vault resources and backups. |
|
Backup and DR Cloud Storage Operator( Allows a Backup and DR service account to store and manage data (backups or metadata) in Cloud Storage. |
|
Backup and DR Compute Engine Operator( Allows a Backup and DR service account to discover, back up, and restore Compute Engine VM instances. |
|
Backup and DR Management Server Accessor Beta( Grants the Backup and DR management server access role to Backup Appliances. |
|
Backup and DR Mount User( Allows the user to mount from a backup. This role cannot create a backup plan or restore from a backup. |
|
Backup and DR Restore User( Allows the user to restore or mount from a backup. This role cannot create a backup plan. |
|
Backup and DR User( Provides access to management console. Granular Backup and DR permissions depend on ACL configuration provided by Backup and DR admin within the management console. |
|
Backup and DR User V2( Provides full access to Backup and DR resources except deploying and managing backup infrastructure, expiring backups, changing data sensitivity and configuring on-premises billing. |
|
Backup and DR Viewer( Provides read-only access to all Backup and DR resources. |
|
基本ロール
基本ロールは、IAM より前から存在するプロジェクト レベルのロールです。詳細については、基本ロールをご覧ください。
バックアップと DR は以下の基本ロールをサポートしていますが、可能な限り事前定義ロールのいずれかを使用してください。基本ロールには、すべての Google Cloud リソースに適用される包括的な権限が含まれています。これとは対照的に、バックアップと DR の事前定義ロールには、バックアップと DR にのみ適用される細分化された権限が含まれています。
| IAM の基本ロール | 説明 |
|---|---|
| 編集者 ( roles/editor) |
すべての Backup and DR リソースへの完全アクセス権を付与します。 |
| オーナー ( roles/owner) |
すべての Backup and DR リソースへの完全アクセス権を付与します。 |
Backup and DR Service の IAM 権限
次の表に、バックアップと DR サービスに関連付けられている IAM 権限を示します。IAM 権限はロールごとにグループ化され、ユーザーとグループにロールを割り当てます。
次の表に、バックアップと DR の各権限の説明を示します。
| 権限名 | 説明 |
|---|---|
| backupdr.managementServers.manageClones | バックアップからクローンを作成して管理する権限を付与します。 |
| backupdr.managementServers.manageLiveClones | バックアップから LiveClone を作成して管理する権限を付与します。 |
| backupdr.managementServers.manageMounts | バックアップからアクティブなマウントを作成して管理する権限を付与します。 |
| backupdr.managementServers.manageRestores | バックアップから復元するために必要な権限を付与します。 |
| backupdr.managementServers.manageBackups | バックアップ オペレーションを実行する権限([今すぐバックアップ])を付与します。 |
| backupdr.managementServers.viewSystem | バックアップ/リカバリ アプライアンスの構成を表示するためのアクセス権を付与します。 |
| backupdr.managementServers.manageSystem | バックアップ/リカバリ アプライアンスとレポート マネージャーを構成する権限を付与します。 |
| backupdr.managementServers.viewStorage | ストレージとディスクプールの構成を表示するためのアクセス権を付与します。 |
| backupdr.managementServers.manageStorage | ストレージ プールとディスクプールの追加、変更、削除、表示を行う権限を付与します。 |
| backupdr.managementServers.viewBackupPlans | バックアップ プラン(バックアップ テンプレートとリソース プロファイル)を表示するためのアクセス権を付与します。 |
| backupdr.managementServers.assignBackupPlans | 事前構成されたバックアップ プラン(バックアップ テンプレートとリソース プロファイル)をアプリケーションまたはワークロードに割り当てる権限を付与します。 |
| backupdr.managementServers.manageBackupPlans | バックアップ プラン(バックアップ テンプレートとリソース プロファイル)の作成、変更、削除、表示、割り当てを行う権限を付与します。 |
| backupdr.managementServers.testFailOvers | リモートの StreamSnap バックアップでテスト フェイルオーバーを実行し、テスト フェイルオーバー オペレーションを削除する権限を付与します。 |
| backupdr.managementServers.viewWorkflows | Backup and DR Service 内でデータをコピーするためのアクセスを自動化するバックアップ バックアップと DR ワークフローを表示するためのアクセス権を付与します。 |
| backupdr.managementServers.runWorkflows | 事前構成済みのバックアップと DR ワークフローを実行する権限を付与します。これにより、バックアップと DR サービス内のデータをコピーするためのアクセスが自動化されます。 |
| backupdr.managementServers.refreshWorkflows | Backup and DR ワークフローによって作成されたクローンを更新する権限を付与します。このワークフローは、Backup and DR サービス内でデータをコピーするためのアクセスを自動化します。 |
| backupdr.managementServers.manageWorkflows | Backup and DR Service 内でデータをコピーするためのアクセスを自動化するバックアップ Backup and DR ワークフローの追加、変更、削除、実行、表示の権限を付与します。 |
| backupdr.managementServers.manageMirroring | リモート StreamSnap バックアップでフェイルオーバー、同期バック、クリーンアップ、フェイルバック、テスト フェイルオーバー、テスト フェイルオーバーの削除オペレーションを実行する権限を付与します。 |
| backupdr.managementServers.manageHosts | ホスト(物理マシンと仮想マシン)の追加、変更、削除、表示の権限を付与します。 |
| backupdr.managementServers.manageApplications | 論理グループや整合性グループの管理、バックアップのオンデマンド実行、テンプレートのエクスポートなど、アプリケーションのすべての側面を管理するための権限が付与されます。 |
| backupdr.managementServers.manageSensitiveData | アプリとバックアップを機密データまたは非機密データとしてマークするために必要な権限を付与します。 |
| backupdr.managementServers.accessSensitiveData | 機密性が高いとマークされたアプリとバックアップへのアクセスを許可します。 |
| backupdr.managementServers.manageBackupServers | 管理コンソールから Backup Server API を実行するために必要な権限を付与します。 |
| backupdr.managementServers.manageExpiration | バックアップの有効期限を切るために必要な権限を付与します。 |
| backupdr.managementServers.access | 管理コンソールと関連する API へのアクセス権を付与します。 |
| backupdr.managementServers.onpremUsageUpload | オンプレミス アダプタに使用状況をアップロードするために必要なすべてのエンドポイントへのアクセス権を付与します。 |
| backupdr.managementServers.viewReports | レポート マネージャーへのアクセス権を付与して、レポートを実行し、出力を表示またはダウンロードできるようにします。 |
| backupdr.managementServers.manageJobs | ジョブをキャンセルし、ジョブの優先度を変更する権限を付与します。 |
| backupdr.managementServers.manageMigrations | 復元オペレーションまたはクローン作成オペレーションの最後のステップとして、マウントされたデータの移行を管理する権限を付与します。 |