Ruoli e autorizzazioni IAM per eseguire il backup, il montaggio e il ripristino delle istanze Compute Engine

Questa pagina elenca i ruoli e le autorizzazioni IAM necessari per eseguire il backup, montare e ripristinare un'istanza Compute Engine.

Ruoli e autorizzazioni IAM

Per eseguire il backup, il montaggio e il ripristino di un'istanza, devi assegnare il ruolo Backup and DR Compute Engine Operatorall'account di servizio dell'appliance di backup/recupero o creare un ruolo personalizzato e assegnare tutte le autorizzazioni elencate in questa pagina.

Di seguito sono elencate le autorizzazioni IAM di Compute Engine predefinite necessarie per eseguire il backup, il montaggio e il ripristino delle istanze Compute Engine.

• Esegui il backup dell'istanza Compute Engine

  • compute.disks.createSnapshot
  • compute.disks.get
  • compute.instances.list
  • compute.instances.setLabels
  • compute.regions.get
  • compute.regionOperations.get
  • compute.snapshots.create
  • compute.snapshots.delete
  • compute.snapshots.get
  • compute.snapshots.setLabels
  • compute.snapshots.useReadOnly
  • compute.zones.list
  • compute.zoneOperations.get
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

• Montare su un'istanza Compute Engine esistente

  • compute.disks.create
  • compute.disks.delete
  • compute.disks.get
  • compute.disks.use
  • compute.diskTypes.get
  • compute.diskTypes.list
  • compute.images.create
  • compute.images.delete
  • compute.images.get
  • compute.images.useReadOnly
  • compute.instances.attachDisk
  • compute.instances.create
  • compute.instances.delete
  • compute.instances.detachDisk
  • compute.instances.get
  • compute.instances.list
  • compute.instances.setMetadata
  • compute.regions.get
  • compute.regions.list
  • compute.regionOperations.get
  • compute.zones.list
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get

• Montare su una nuova istanza Compute Engine e ripristinare l'istanza

  • compute.addresses.list
  • compute.diskTypes.get
  • compute.diskTypes.list
  • compute.disks.create
  • compute.disks.createSnapshot
  • compute.disks.delete
  • compute.disks.get
  • compute.disks.setLabels
  • compute.disks.use
  • compute.firewalls.list
  • compute.globalOperations.get
  • compute.images.create
  • compute.images.delete
  • compute.images.get
  • compute.images.useReadOnly
  • compute.instances.attachDisk
  • compute.instances.create
  • compute.instances.delete
  • compute.instances.detachDisk
  • compute.instances.get
  • compute.instances.list
  • compute.instances.setLabels
  • compute.instances.setMetadata
  • compute.instances.setServiceAccount
  • compute.instances.setTags
  • compute.instances.start
  • compute.instances.stop
  • compute.machineTypes.get
  • compute.machineTypes.list
  • compute.networks.list
  • compute.nodeGroups.list
  • compute.nodeGroups.get
  • compute.nodeTemplates.get
  • compute.projects.get
  • compute.regions.get
  • compute.regionOperations.get
  • compute.snapshots.create
  • compute.snapshots.get
  • compute.snapshots.setLabels
  • compute.snapshots.useReadOnly
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.zoneOperations.get
  • compute.zones.list
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get

Autorizzazioni per montare l'istanza Compute Engine con chiavi di crittografia gestite dal cliente

Per montare un'immagine di backup di Compute Engine come istanza Compute Engine esistente o nuova, in cui il disco di origine utilizza chiavi di crittografia gestite dal cliente (CMEK), devi copiare il nome dell'account di servizio dell'agente di servizio Compute Engine dal progetto di destinazione, aggiungerlo al progetto di origine e assegnare il ruolo CryptoKey Encrypter/Decrypter descritto di seguito.

Segui queste istruzioni per aggiungere le autorizzazioni quando utilizzi CMEK:

1. Dal menu a discesa Progetto, seleziona il progetto di destinazione.
2. Nel menu di navigazione a sinistra, vai a IAM e amministrazione > IAM.
3. Seleziona Includi concessioni di ruoli fornite da Google.
4. Trova l'account di servizio Agente di servizio Compute Engine e copia l'ID dell'entità. Deve avere il formato di un indirizzo email, ad esempio my-service-account@my-project.iam.gserviceaccount.com.
5. Seleziona il progetto di origine dal menu a discesa Progetto in cui è stata creata la chiave.
6. Nel menu di navigazione a sinistra, vai a IAM e amministrazione > IAM.
7. Seleziona Concedi accesso.
8. In Aggiungi entità, incolla l'ID dell'agente di servizio Compute Engine del progetto di destinazione.
9. In Assegna ruoli, assegna il ruolo Cloud KMS CryptoKey Encrypter/Decrypter.
10. Seleziona Salva.

La guida di Compute Engine per il backup e la RE

• Controllare le credenziali del cloud
• Scoprire e proteggere le istanze Compute Engine
• Montare le immagini di backup delle istanze Compute Engine
• Ripristinare un'istanza Compute Engine
• Importare le immagini degli snapshot dei dischi permanenti