Durante el proceso de implementación, una cuenta de servicio creada en tu nombre usa estos permisos durante la implementación.
La cuenta de servicio usa estos permisos para instalar el dispositivo de copia de seguridad o recuperación.
La cuenta de servicio tiene muchos privilegios en el proyecto de VPC de destino y en los proyectos de consumidor durante la instalación. La mayoría de estos permisos se eliminan a medida que avanza la instalación. En la siguiente tabla se indican los roles concedidos a la cuenta de servicio y los permisos necesarios en cada rol.
| Rol | Permisos necesarios | Si es una VPC compartida, asigna el valor: |
|---|---|---|
| resourcemanager.projectIamAdmin | resourcemanager.projects.getIamPolicy | Propietario de la VPC, administrador de copias de seguridad y proyectos de carga de trabajo |
| resourcemanager.projects.setIamPolicy | Propietario de la VPC, administrador de copias de seguridad y proyectos de carga de trabajo | |
| iam.serviceAccountUser | iam.serviceAccounts.actAs | Proyecto de carga de trabajo |
| iam.serviceAccountTokenCreator | iam.serviceAccounts.getOpenIdToken | Proyecto de carga de trabajo |
| cloudkms.admin | cloudkms.keyRings.create | Propietario de la VPC, administrador de copias de seguridad y proyectos de carga de trabajo |
| cloudkms.keyRings.getIamPolicy | Propietario de la VPC, administrador de copias de seguridad y proyectos de carga de trabajo | |
| cloudkms.keyRings.setIamPolicy | Propietario de la VPC, administrador de copias de seguridad y proyectos de carga de trabajo | |
| logging.logWriter | logging.logs.write | Proyecto de carga de trabajo |
| compute.admin | compute.instances.create | Proyecto de carga de trabajo |
| compute.instances.delete | Proyecto de carga de trabajo | |
| compute.disks.create | Proyecto de carga de trabajo | |
| compute.disks.delete | Proyecto de carga de trabajo | |
| compute.instances.setMetadata | Proyecto de carga de trabajo | |
| compute.subnetworks.get | Proyecto de VPC | |
| compute.subnetworks.use | Proyecto de VPC | |
| compute.subnetworks.setPrivateIpGoogleAccess | Proyecto de VPC | |
| compute.firewalls.create | Proyecto de VPC | |
| compute.firewalls.delete | Proyecto de VPC | |
| backupdr.admin | backupdr.managementservers.manageInternalACL | Proyecto de administrador de copias de seguridad |
Una vez finalizada la instalación, para las operaciones diarias en el proyecto de carga de trabajo
Se han eliminado todos los permisos necesarios para la implementación y la instalación, excepto iam.serviceAccountUser y iam.serviceAccounts.actAs. Se añaden dos roles de cloudkms necesarios para las operaciones diarias, que se restringen a un solo conjunto de claves.
| Rol | Permisos necesarios |
|---|---|
| iam.serviceAccountUser | iam.serviceAccounts.actAs |
| cloudkms.cryptoKeyEncrypterDecrypter* | cloudkms.cryptoKeyVersions.useToDecrypt |
| cloudkms.cryptoKeyVersions.useToEncrypt | |
| cloudkms.admin* | cloudkms.keyRings.get |
| backupdr.computeEngineOperator* | Todos los permisos que se indican en el rol. |
| backupdr.cloudStorageOperator** | Todos los permisos que se indican en el rol. |
* Los roles cloudkms están en un solo conjunto de claves.
** El rol cloudStorageOperator se asigna a los contenedores cuyos nombres empiezan por el nombre del dispositivo de copia de seguridad o de recuperación.
Permisos usados para crear un cortafuegos en el proyecto
Estos permisos de IAM se usan para crear un cortafuegos en el proyecto propietario de la VPC solo durante la creación del cortafuegos.
compute.firewalls.create
compute.firewalls.delete
compute.firewalls.get
compute.firewalls.list
compute.firewalls.update
compute.networks.list
compute.networks.get
compute.networks.updatePolicy
El resto de los permisos ya no son necesarios después de la instalación.