Durante o processo de implementação, uma conta de serviço criada em seu nome usa estas autorizações durante a implementação.
A conta de serviço usa estas autorizações para instalar o dispositivo de cópia de segurança/recuperação
A conta de serviço tem privilégios elevados no projeto de VPC de destino e nos projetos de consumidor durante a instalação. A maioria destas autorizações é removida à medida que a instalação avança. A tabela seguinte contém as funções concedidas à conta de serviço e as autorizações necessárias em cada função.
| Função | Autorizações necessárias | Se for uma VPC partilhada, atribua a: |
|---|---|---|
| resourcemanager.projectIamAdmin | resourcemanager.projects.getIamPolicy | Proprietário da VPC, administrador de cópias de segurança e projetos de cargas de trabalho |
| resourcemanager.projects.setIamPolicy | Proprietário da VPC, administrador de cópias de segurança e projetos de cargas de trabalho | |
| iam.serviceAccountUser | iam.serviceAccounts.actAs | Projeto de carga de trabalho |
| iam.serviceAccountTokenCreator | iam.serviceAccounts.getOpenIdToken | Projeto de carga de trabalho |
| cloudkms.admin | cloudkms.keyRings.create | Proprietário da VPC, administrador de cópias de segurança e projetos de cargas de trabalho |
| cloudkms.keyRings.getIamPolicy | Proprietário da VPC, administrador de cópias de segurança e projetos de cargas de trabalho | |
| cloudkms.keyRings.setIamPolicy | Proprietário da VPC, administrador de cópias de segurança e projetos de cargas de trabalho | |
| logging.logWriter | logging.logs.write | Projeto de carga de trabalho |
| compute.admin | compute.instances.create | Projeto de carga de trabalho |
| compute.instances.delete | Projeto de carga de trabalho | |
| compute.disks.create | Projeto de carga de trabalho | |
| compute.disks.delete | Projeto de carga de trabalho | |
| compute.instances.setMetadata | Projeto de carga de trabalho | |
| compute.subnetworks.get | Projeto da VPC | |
| compute.subnetworks.use | Projeto da VPC | |
| compute.subnetworks.setPrivateIpGoogleAccess | Projeto da VPC | |
| compute.firewalls.create | Projeto da VPC | |
| compute.firewalls.delete | Projeto da VPC | |
| backupdr.admin | backupdr.managementservers.manageInternalACL | Projeto do administrador de cópia de segurança |
Após a conclusão da instalação, para o funcionamento diário no projeto de carga de trabalho
Todas as autorizações necessárias para a implementação e a instalação são removidas, exceto iam.serviceAccountUser e iam.serviceAccounts.actAs. São adicionadas duas funções cloudkms necessárias para o funcionamento diário, restritas a um único conjunto de chaves.
| Função | Autorizações necessárias |
|---|---|
| iam.serviceAccountUser | iam.serviceAccounts.actAs |
| cloudkms.cryptoKeyEncrypterDecrypter* | cloudkms.cryptoKeyVersions.useToDecrypt |
| cloudkms.cryptoKeyVersions.useToEncrypt | |
| cloudkms.admin* | cloudkms.keyRings.get |
| backupdr.computeEngineOperator* | Todas as autorizações indicadas na função. |
| backupdr.cloudStorageOperator** | Todas as autorizações indicadas na função. |
* As cloudkms funções estão num único porta-chaves.
** A função cloudStorageOperator está em contentores com nomes que começam com o nome do dispositivo de cópia de segurança/recuperação.
Autorizações usadas para criar uma firewall no projeto
Estas autorizações da IAM são usadas para criar uma firewall no projeto que detém a VPC apenas durante a criação da firewall.
compute.firewalls.create
compute.firewalls.delete
compute.firewalls.get
compute.firewalls.list
compute.firewalls.update
compute.networks.list
compute.networks.get
compute.networks.updatePolicy
Todas as outras autorizações deixam de ser necessárias após a instalação.