Lors du processus de déploiement, un compte de service créé en votre nom utilise ces autorisations pendant toute la durée du déploiement.
Le compte de service utilise ces autorisations pour installer l'appliance de sauvegarde/restauration.
Le compte de service dispose de privilèges élevés dans le projet cible, le projet VPC et les projets clients lors de l'installation. La plupart de ces autorisations sont supprimées au fur et à mesure de l'installation. Le tableau suivant contient les rôles accordés au compte de service et les autorisations requises pour chaque rôle.
| Rôle | Autorisations nécessaires | Si vous utilisez un VPC partagé, attribuez-le à: |
|---|---|---|
| resourcemanager.projectIamAdmin | resourcemanager.projects.getIamPolicy | Propriétaire du VPC, administrateur des sauvegardes et projets de charge de travail |
| resourcemanager.projects.setiamPolicy | Propriétaire du VPC, administrateur des sauvegardes et projets de charge de travail | |
| iam.serviceAccountUser | iam.serviceAccounts.actAs | Projet de charge de travail |
| iam.serviceAccountTokenCreator | iam.serviceAccounts.getOpenIdToken | Projet de charge de travail |
| cloudkms.admin | cloudkms.keyRings.create | Propriétaire du VPC, administrateur des sauvegardes et projets de charge de travail |
| cloudkms.keyRings.getIamPolicy | Propriétaire du VPC, administrateur des sauvegardes et projets de charge de travail | |
| cloudkms.keyRings.setIamPolicy | Propriétaire du VPC, administrateur des sauvegardes et projets de charge de travail | |
| logging.logWriter | logging.logs.write | Projet de charge de travail |
| compute.admin | compute.instances.create | Projet de charge de travail |
| compute.instances.delete | Projet de charge de travail | |
| compute.disks.create | Projet de charge de travail | |
| compute.disks.delete | Projet de charge de travail | |
| compute.instances.setMetadata | Projet de charge de travail | |
| compute.subnetworks.get | Projet VPC | |
| compute.subnetworks.use | Projet VPC | |
| compute.subnetworks.setPrivateIpGoogleAccess | Projet VPC | |
| compute.firewalls.create | Projet VPC | |
| compute.firewalls.delete | Projet VPC | |
| backupdr.admin | backupdr.managementservers.manageInternalACL | Projet Backup Admin |
Une fois l'installation terminée, pour les opérations quotidiennes sur le projet de charge de travail
Toutes les autorisations requises pour le déploiement et l'installation sont supprimées, à l'exception de iam.serviceAccountUser et iam.serviceAccounts.actAs. Deux rôles cloudkms nécessaires au fonctionnement quotidien sont ajoutés, limités à un seul trousseau.
| Rôle | Autorisations nécessaires |
|---|---|
| iam.serviceAccountUser | iam.serviceAccounts.actAs |
| cloudkms.cryptoKeyEncrypterDecrypter* | cloudkms.cryptoKeyVersions.useToDecrypt |
| cloudkms.cryptoKeyVersions.useToEncrypt | |
| cloudkms.admin* | cloudkms.keyRings.get |
| backupdr.computeEngineOperator* | Toutes les autorisations listées dans le rôle. |
| backupdr.cloudStorageOperator** | Toutes les autorisations listées dans le rôle. |
* Les rôles cloudkms se trouvent dans un seul trousseau de clés.
** Le rôle cloudStorageOperator s'applique aux buckets dont le nom commence par le nom de l'appareil de sauvegarde/récupération.
Autorisations utilisées pour créer un pare-feu sur le projet
Ces autorisations IAM ne servent qu'à créer un pare-feu sur le projet propriétaire du VPC au moment de la création du pare-feu.
compute.firewalls.create
compute.firewalls.delete
compute.firewalls.get
compute.firewalls.list
compute.firewalls.update
compute.networks.list
compute.networks.get
compute.networks.updatePolicy
Toutes les autres autorisations ne sont plus nécessaires après l'installation.