Selama proses deployment, akun layanan yang dibuat atas nama Anda akan menggunakan izin ini selama durasi deployment.
Akun layanan menggunakan izin ini untuk menginstal appliance pencadangan/pemulihan
Akun layanan memiliki hak istimewa tinggi di target, project VPC, dan project konsumen selama penginstalan. Sebagian besar izin ini akan dihapus seiring dengan progres penginstalan. Tabel berikut berisi peran yang diberikan ke akun layanan dan izin yang diperlukan dalam setiap peran.
| Peran | Izin diperlukan | Jika VPC Bersama, tetapkan ke: |
|---|---|---|
| resourcemanager.projectIamAdmin | resourcemanager.projects.getIamPolicy | Project Pemilik VPC, Admin Pencadangan, dan Workload |
| resourcemanager.projects.setIamPolicy | Project Pemilik VPC, Admin Pencadangan, dan Workload | |
| iam.serviceAccountUser | iam.serviceAccounts.actAs | Project beban kerja |
| iam.serviceAccountTokenCreator | iam.serviceAccounts.getOpenIdToken | Project beban kerja |
| cloudkms.admin | cloudkms.keyRings.create | Project Pemilik VPC, Admin Pencadangan, dan Workload |
| cloudkms.keyRings.getIamPolicy | Project Pemilik VPC, Admin Pencadangan, dan Workload | |
| cloudkms.keyRings.setIamPolicy | Project Pemilik VPC, Admin Pencadangan, dan Workload | |
| logging.logWriter | logging.logs.write | Project beban kerja |
| compute.admin | compute.instances.create | Project beban kerja |
| compute.instances.delete | Project beban kerja | |
| compute.disks.create | Project beban kerja | |
| compute.disks.delete | Project beban kerja | |
| compute.instances.setMetadata | Project beban kerja | |
| compute.subnetworks.get | Project VPC | |
| compute.subnetworks.use | Project VPC | |
| compute.subnetworks.setPrivateIpGoogleAccess | Project VPC | |
| compute.firewalls.create | Project VPC | |
| compute.firewalls.delete | Project VPC | |
| backupdr.admin | backupdr.managementservers.manageInternalACL | Project Admin Pencadangan |
Setelah penginstalan selesai, untuk operasi harian pada project beban kerja
Semua izin yang diperlukan untuk deployment dan penginstalan akan dihapus
kecuali iam.serviceAccountUser dan iam.serviceAccounts.actAs. Dua peran cloudkms
yang diperlukan untuk operasi harian ditambahkan, dibatasi untuk satu ring kunci.
| Peran | Izin diperlukan |
|---|---|
| iam.serviceAccountUser | iam.serviceAccounts.actAs |
| cloudkms.cryptoKeyEncrypterDecrypter* | cloudkms.cryptoKeyVersions.useToDecrypt |
| cloudkms.cryptoKeyVersions.useToEncrypt | |
| cloudkms.admin* | cloudkms.keyRings.get |
| backupdr.computeEngineOperator* | Semua izin yang tercantum dalam peran. |
| backupdr.cloudStorageOperator** | Semua izin yang tercantum dalam peran. |
* Peran cloudkms berada di satu ring kunci.
** Peran cloudStorageOperator ada di bucket dengan nama yang diawali dengan
nama perangkat pencadangan/pemulihan.
Izin yang digunakan untuk membuat firewall di project
Izin IAM ini digunakan untuk membuat firewall di project yang memiliki VPC hanya selama pembuatan firewall.
compute.firewalls.create
compute.firewalls.delete
compute.firewalls.get
compute.firewalls.list
compute.firewalls.update
compute.networks.list
compute.networks.get
compute.networks.updatePolicy
Semua izin lainnya tidak lagi diperlukan setelah penginstalan.