用于备份、挂载和恢复 Compute Engine 实例的 IAM 角色和权限

本页面列出了备份、挂载和恢复 Compute Engine 实例所需的 IAM 角色和权限。

IAM 角色和权限

如需备份、挂载和恢复实例,您需要将 Backup and DR Compute Engine Operator 角色分配给备份/恢复设备的服务账号,或者创建自定义角色并分配本页面上列出的所有权限。

以下列出了备份、挂载和恢复 Compute Engine 实例所需的预定义 Compute Engine IAM 权限。

  • 备份 Compute Engine 实例

    • compute.disks.createSnapshot
    • compute.disks.get
    • compute.instances.list
    • compute.instances.setLabels
    • compute.regions.get
    • compute.regionOperations.get
    • compute.snapshots.create
    • compute.snapshots.delete
    • compute.snapshots.get
    • compute.snapshots.setLabels
    • compute.snapshots.useReadOnly
    • compute.zones.list
    • compute.zoneOperations.get
    • iam.serviceAccounts.actAs
    • iam.serviceAccounts.get
    • iam.serviceAccounts.list
    • resourcemanager.projects.get
    • resourcemanager.projects.list

  • 挂载到现有 Compute Engine 实例

    • compute.disks.create
    • compute.disks.delete
    • compute.disks.get
    • compute.disks.use
    • compute.diskTypes.get
    • compute.diskTypes.list
    • compute.images.create
    • compute.images.delete
    • compute.images.get
    • compute.images.useReadOnly
    • compute.instances.attachDisk
    • compute.instances.create
    • compute.instances.delete
    • compute.instances.detachDisk
    • compute.instances.get
    • compute.instances.list
    • compute.instances.setMetadata
    • compute.regions.get
    • compute.regions.list
    • compute.regionOperations.get
    • compute.zones.list
    • iam.serviceAccounts.actAs
    • iam.serviceAccounts.get
    • iam.serviceAccounts.list
    • resourcemanager.projects.get

  • 挂载到新的 Compute Engine 实例并恢复实例

    • compute.addresses.list
    • compute.diskTypes.get
    • compute.diskTypes.list
    • compute.disks.create
    • compute.disks.createSnapshot
    • compute.disks.delete
    • compute.disks.get
    • compute.disks.setLabels
    • compute.disks.use
    • compute.firewalls.list
    • compute.globalOperations.get
    • compute.images.create
    • compute.images.delete
    • compute.images.get
    • compute.images.useReadOnly
    • compute.instances.attachDisk
    • compute.instances.create
    • compute.instances.delete
    • compute.instances.detachDisk
    • compute.instances.get
    • compute.instances.list
    • compute.instances.setLabels
    • compute.instances.setMetadata
    • compute.instances.setServiceAccount
    • compute.instances.setTags
    • compute.instances.start
    • compute.instances.stop
    • compute.machineTypes.get
    • compute.machineTypes.list
    • compute.networks.list
    • compute.nodeGroups.list
    • compute.nodeGroups.get
    • compute.nodeTemplates.get
    • compute.projects.get
    • compute.regions.get
    • compute.regionOperations.get
    • compute.snapshots.create
    • compute.snapshots.get
    • compute.snapshots.setLabels
    • compute.snapshots.useReadOnly
    • compute.subnetworks.list
    • compute.subnetworks.use
    • compute.subnetworks.useExternalIp
    • compute.zoneOperations.get
    • compute.zones.list
    • iam.serviceAccounts.actAs
    • iam.serviceAccounts.get
    • iam.serviceAccounts.list
    • resourcemanager.projects.get

用于挂载使用客户管理的加密密钥的 Compute Engine 实例的权限

如需将 Compute Engine 备份映像作为现有或新的 Compute Engine 实例挂载(其中源磁盘使用的是客户管理的加密密钥 [CMEK]),您需要从目标项目中复制 Compute Engine 服务代理的服务账号名称,将其添加到源项目中,并分配 CryptoKey Encrypter/Decrypter 角色(详见下文)。

使用 CMEK 时,请按照以下说明添加权限:

  1. Project(项目)下拉列表中选择目标项目。
  2. 在左侧导航菜单中,依次选择 IAM 和管理 > IAM
  3. 选择包括 Google 提供的角色授权
  4. 找到 Compute Engine 服务代理服务账号,然后复制主账号的 ID。此值采用电子邮件地址格式,例如 my-service-account@my-project.iam.gserviceaccount.com。
  5. 从创建密钥的项目下拉菜单中选择您的源项目。
  6. 在左侧导航菜单中,依次选择 IAM 和管理 > IAM
  7. 选择授予访问权限
  8. 添加主账号中,粘贴目标项目中的 Compute Engine 服务代理的 ID。
  9. 分配角色中,分配 Cloud KMS CryptoKey Encrypter/Decrypter 角色。
  10. 选择保存

“Backup and DR Compute Engine”指南