このページは Cloud Translation API によって翻訳されました。

Compute Engine インスタンスのバックアップ、マウント、復元を行うための IAM ロールと権限

このページでは、Compute Engine インスタンスのバックアップ、マウント、復元に必要な IAM ロールと権限について説明します。

IAM のロールと権限

インスタンスをバックアップ、マウント、復元するには、バックアップ/リカバリアプライアンスのサービスアカウントに Backup and DR Compute Engine Operator ロールを割り当てるか、カスタムロールを作成し、このページに記載されているすべての権限を割り当てる必要があります。

次のリストに、Compute Engine インスタンスのバックアップ、マウント、復元に必要な事前定義された Compute Engine IAM 権限を示します。

Compute Engine インスタンスをバックアップする
- compute.disks.createSnapshot
- compute.disks.get
- compute.instances.list
- compute.instances.setLabels
- compute.regions.get
- compute.regionOperations.get
- compute.snapshots.create
- compute.snapshots.delete
- compute.snapshots.get
- compute.snapshots.setLabels
- compute.snapshots.useReadOnly
- compute.zones.list
- compute.zoneOperations.get
- iam.serviceAccounts.actAs
- iam.serviceAccounts.get
- iam.serviceAccounts.list
- resourcemanager.projects.get
- resourcemanager.projects.list
既存の Compute Engine インスタンスにマウントする
- compute.disks.create
- compute.disks.delete
- compute.disks.get
- compute.disks.use
- compute.diskTypes.get
- compute.diskTypes.list
- compute.images.create
- compute.images.delete
- compute.images.get
- compute.images.useReadOnly
- compute.instances.attachDisk
- compute.instances.create
- compute.instances.delete
- compute.instances.detachDisk
- compute.instances.get
- compute.instances.list
- compute.instances.setMetadata
- compute.regions.get
- compute.regions.list
- compute.regionOperations.get
- compute.zones.list
- iam.serviceAccounts.actAs
- iam.serviceAccounts.get
- iam.serviceAccounts.list
- resourcemanager.projects.get
新しい Compute Engine インスタンスにマウントしてインスタンスを復元する
- compute.addresses.list
- compute.diskTypes.get
- compute.diskTypes.list
- compute.disks.create
- compute.disks.createSnapshot
- compute.disks.delete
- compute.disks.get
- compute.disks.setLabels
- compute.disks.use
- compute.firewalls.list
- compute.globalOperations.get
- compute.images.create
- compute.images.delete
- compute.images.get
- compute.images.useReadOnly
- compute.instances.attachDisk
- compute.instances.create
- compute.instances.delete
- compute.instances.detachDisk
- compute.instances.get
- compute.instances.list
- compute.instances.setLabels
- compute.instances.setMetadata
- compute.instances.setServiceAccount
- compute.instances.setTags
- compute.instances.start
- compute.instances.stop
- compute.machineTypes.get
- compute.machineTypes.list
- compute.networks.list
- compute.nodeGroups.list
- compute.nodeGroups.get
- compute.nodeTemplates.get
- compute.projects.get
- compute.regions.get
- compute.regionOperations.get
- compute.snapshots.create
- compute.snapshots.get
- compute.snapshots.setLabels
- compute.snapshots.useReadOnly
- compute.subnetworks.list
- compute.subnetworks.use
- compute.subnetworks.useExternalIp
- compute.zoneOperations.get
- compute.zones.list
- iam.serviceAccounts.actAs
- iam.serviceAccounts.get
- iam.serviceAccounts.list
- resourcemanager.projects.get

顧客管理の暗号鍵を使用して Compute Engine インスタンスをマウントする権限

ソースディスクがカスタマーマネージド暗号鍵（CMEK）を使用している場合に、Compute Engine バックアップイメージを既存または新しい Compute Engine インスタンスとしてマウントするには、ターゲットプロジェクトから Compute Engine サービスエージェントのサービスアカウント名をコピーし、ソースプロジェクトに追加して、次のようにロール CryptoKey Encrypter/Decrypter を割り当てる必要があります。

CMEK を使用するときに権限を追加する手順は次のとおりです。

[Project] プルダウンから、ターゲットプロジェクトを選択します。
左側のナビゲーションメニューで、[IAM と管理] > [IAM] に移動します。
[Google 提供のロール付与を含む] を選択します。
Compute Engine サービスエージェントのサービスアカウントを見つけて、プリンシパルの ID をコピーします。これはメールアドレス形式です（my-service-account@my-project など）。iam.gserviceaccount.com
鍵が作成されたソースプロジェクトを [プロジェクト] プルダウンから選択します。
左側のナビゲーションメニューで、[IAM と管理] > [IAM] に移動します。
[アクセス権を付与] を選択します。
[プリンシパルを追加] に、ターゲットプロジェクトの Compute Engine サービスエージェントの ID を貼り付けます。
[ロールを割り当てる] で、Cloud KMS CryptoKey Encrypter/Decrypter ロールを割り当てます。
[保存] を選択します。

Compute Engine インスタンスのバックアップ、マウント、復元を行うための IAM ロールと権限

IAM のロールと権限

顧客管理の暗号鍵を使用して Compute Engine インスタンスをマウントする権限

バックアップと DR の Compute Engine ガイド