Esta página descreve os papéis e as permissões do IAM necessários para o serviço de backup e DR doGoogle Cloud . Ao adicionar novos principais ao projeto, é possível usar uma política de gerenciamento de identidade e acesso (IAM) para conceder a esse principal um ou mais papéis do IAM. Cada papel do IAM contém permissões que concedem aos principais acesso para realizar ações específicas em recursos específicos. Para uma lista de referência das permissões do IAM que se aplicam ao serviço de backup e DR, consulte Permissões do IAM para o serviço de backup e DR.
Como o IAM controla o acesso
Se um principal (um usuário, grupo ou conta de serviço) chamar uma API do Google Cloud , ele precisa ter as permissões apropriadas do IAM para usar o recurso. Para conceder as permissões necessárias a um principal, atribua um papel do IAM a ele. Saiba mais sobre os principais no IAM.
Tipos de papéis do IAM
O serviço de backup e DR tem papéis predefinidos, que são permissões agrupadas para serem atribuídas a princípios diferentes. Os usuários também podem definir papéis personalizados, que podem ter uma combinação de permissões individuais para conceder acesso e realizar uma ação ou um fluxo de trabalho de backup e DR específico.
Permissões do IAM
Com elas, os usuários podem realizar ações específicas em recursos específicos. Eles podem ser agrupados para formar funções. Cada permissão se refere a uma ação específica que o usuário pode realizar ou acesso que ele tem.
Permissões no nível do projeto e do recurso
As permissões podem ser concedidas no nível do projeto ou do recurso. Por exemplo, um administrador de backup e DR pode conceder apenas determinadas permissões em um bucket de armazenamento, em vez de todo o projeto, dependendo da política. A concessão de papéis no nível do recurso não afeta os papéis concedidos no nível do projeto e vice-versa.
Papéis de IAM predefinidos para o serviço de backup e DR
O serviço de backup e DR tem um conjunto de papéis predefinidos do IAM descritos nesta página. Também é possível criar papéis personalizados que contenham subconjuntos de permissões mapeadas diretamente para suas necessidades.
A tabela a seguir descreve os papéis do IAM associados ao serviço de backup e DR e lista as permissões contidas em cada papel. A descrição de cada permissão está listada na seção Permissão do IAM para o serviço de backup e DR.
| Role | Permissions |
|---|---|
Backup and DR Admin( Provides full access to all Backup and DR resources. |
|
Backup and DR Backup Config Viewer Beta( Provides read access to resource backup config. Resource backup config has the metadata of a Google Cloud resource that can be backed up, along with its backup configurations. |
|
Backup and DR Backup User( Allows the user to apply existing backup plans. This role cannot create backup plans or restore from a backup. |
|
Backup and DR Backup Vault Accessor( Allows the Backup Appliance permissions to create and manage backups in a backup vault. |
|
Backup and DR Backup Vault Admin( Allows the Backup Appliance full administrative control of backup vault resources. |
|
Backup and DR Backup Vault Lister( Allows the Backup Appliance permission to list backup vaults in a given project. |
|
Backup and DR Backup Vault Viewer( Allows read-only permissions to access backup vault resources and backups. |
|
Backup and DR Cloud Storage Operator( Allows a Backup and DR service account to store and manage data (backups or metadata) in Cloud Storage. |
|
Backup and DR Compute Engine Operator( Allows a Backup and DR service account to discover, back up, and restore Compute Engine VM instances. |
|
Backup and DR Management Server Accessor Beta( Grants the Backup and DR management server access role to Backup Appliances. |
|
Backup and DR Mount User( Allows the user to mount from a backup. This role cannot create a backup plan or restore from a backup. |
|
Backup and DR Restore User( Allows the user to restore or mount from a backup. This role cannot create a backup plan. |
|
Backup and DR User( Provides access to management console. Granular Backup and DR permissions depend on ACL configuration provided by Backup and DR admin within the management console. |
|
Backup and DR User V2( Provides full access to Backup and DR resources except deploying and managing backup infrastructure, expiring backups, changing data sensitivity and configuring on-premises billing. |
|
Backup and DR Viewer( Provides read-only access to all Backup and DR resources. |
|
Papéis básicos
Papéis básicos são aqueles no nível do projeto que antecedem o IAM. Consulte Papéis básicos para mais detalhes.
Embora o Backup e DR ofereça suporte aos papéis básicos a seguir, use um dos papéis predefinidos sempre que possível. Os papéis básicos incluem permissões amplas que se aplicam a todos os recursos do Google Cloud . Por outro lado, os papéis predefinidos de backup e DR incluem permissões refinadas que se aplicam apenas a backup e DR.
| Papel do IAM básico | Descrição |
|---|---|
| Editor ( roles/editor) |
Dá acesso total a todos os recursos de backup e DR. |
| Proprietário ( roles/owner) |
Dá acesso total a todos os recursos de backup e DR. |
Permissões do IAM para o serviço de Backup e DR
A tabela a seguir lista as permissões do IAM associadas ao serviço de backup e DR. As permissões de IAM são agrupadas em papéis e você atribui papéis a usuários e grupos.
A tabela a seguir lista a descrição de cada permissão de backup e DR.
| Nome da permissão | Descrição |
|---|---|
| backupdr.managementServers.manageClones | Concede permissões para criar e gerenciar clones de backups. |
| backupdr.managementServers.manageLiveClones | Fornece permissões para criar e gerenciar clones ao vivo a partir de backups. |
| backupdr.managementServers.manageMounts | Concede permissões para criar e gerenciar montagens ativas de backups. |
| backupdr.managementServers.manageRestores | Fornece as permissões necessárias para restaurar de backups. |
| backupdr.managementServers.manageBackups | Fornece permissões para realizar operações de backup: "Fazer backup agora". |
| backupdr.managementServers.viewSystem | Concede acesso para visualizar a configuração do appliance de backup/recuperação. |
| backupdr.managementServers.manageSystem | Concede permissões para configurar appliances de backup/recuperação e o gerenciador de relatórios. |
| backupdr.managementServers.viewStorage | Acesso para visualizar as configurações de armazenamento e do pool de discos. |
| backupdr.managementServers.manageStorage | Fornece permissões para adicionar, modificar, remover e conferir pools de armazenamento e de disco. |
| backupdr.managementServers.viewBackupPlans | Concede acesso para visualizar planos de backup, modelos de backup e perfis de recursos. |
| backupdr.managementServers.assignBackupPlans | Fornece permissões para atribuir planos de backup pré-configurados, modelos de backup e perfis de recursos a aplicativos ou cargas de trabalho. |
| backupdr.managementServers.manageBackupPlans | Concede permissões para criar, modificar, excluir, visualizar e atribuir planos de backup, como modelos de backup e perfis de recursos. |
| backupdr.managementServers.testFailOvers | Concede permissões para executar operações de failover de teste e excluir operações de failover de teste em um backup remoto do StreamSnap. |
| backupdr.managementServers.viewWorkflows | Forneça acesso para visualizar fluxos de trabalho de backup e DR que automatizam o acesso para copiar dados no serviço de backup e DR. |
| backupdr.managementServers.runWorkflows | Fornece permissões para executar fluxos de trabalho de backup e DR pré-configurados que automatizam o acesso para copiar dados no serviço de backup e DR. |
| backupdr.managementServers.refreshWorkflows | Concede permissões para atualizar um clone criado por um fluxo de trabalho de backup e DR que automatiza o acesso para copiar dados no serviço de backup e DR. |
| backupdr.managementServers.manageWorkflows | Fornece permissões para adicionar, modificar, remover, executar e conferir o fluxo de trabalho de backup e DR que automatiza o acesso para copiar dados no serviço de backup e DR. |
| backupdr.managementServers.manageMirroring | Fornece permissões para executar operações de failover, syncback, limpeza, failback, failover de teste e exclusão de failover de teste em um backup remoto do StreamSnap. |
| backupdr.managementServers.manageHosts | Concede permissões para adicionar, modificar, remover e visualizar hosts, máquinas físicas e virtuais |
| backupdr.managementServers.manageApplications | Fornece permissões para gerenciar todos os aspectos dos aplicativos, incluindo grupos lógicos e de consistência, executar backups sob demanda e exportar modelos. |
| backupdr.managementServers.manageSensitiveData | Fornece as permissões necessárias para marcar aplicativos e backups como dados sensíveis ou não sensíveis. |
| backupdr.managementServers.accessSensitiveData | Dá acesso a aplicativos e backups marcados como sensíveis. |
| backupdr.managementServers.manageBackupServers | Fornece as permissões necessárias para executar as APIs do Backup Server pelo console de gerenciamento. |
| backupdr.managementServers.manageExpiration | Fornece as permissões necessárias para expirar backups. |
| backupdr.managementServers.access | Concede acesso ao console de gerenciamento e às APIs associadas. |
| backupdr.managementServers.onpremUsageUpload | Fornece acesso a todos os endpoints necessários para fazer upload do uso para um adaptador local. |
| backupdr.managementServers.viewReports | Fornece acesso ao Gerenciador de relatórios para gerar relatórios e conferir ou fazer o download da saída. |
| backupdr.managementServers.manageJobs | Fornece permissões para cancelar jobs e modificar a prioridade deles. |
| backupdr.managementServers.manageMigrations | Concede permissões para gerenciar a migração de dados montados como uma etapa final em uma operação de restauração ou clonagem. |