备份和灾难恢复安装权限和角色参考

在部署过程中,代表您创建的服务账号会在整个部署期间使用这些权限。

服务账号使用这些权限来安装备份/恢复设备

在安装期间,该服务账号在目标项目、VPC 项目和使用方项目中具有高级权限。在安装过程中,系统会移除其中的大多数权限。下表包含授予服务账号的角色以及每个角色所需的权限。

角色 所需权限 如果是共享 VPC,请将其分配给:
resourcemanager.projectIamAdmin resourcemanager.projects.getIamPolicy VPC 所有者、备份管理员和工作负载项目
resourcemanager.projects.setIamPolicy VPC 所有者、备份管理员和工作负载项目
iam.serviceAccountUser iam.serviceAccounts.actAs 工作负载项目
iam.serviceAccountTokenCreator iam.serviceAccounts.getOpenIdToken 工作负载项目
cloudkms.admin cloudkms.keyRings.create VPC 所有者、备份管理员和工作负载项目
cloudkms.keyRings.getIamPolicy VPC 所有者、备份管理员和工作负载项目
cloudkms.keyRings.setIamPolicy VPC 所有者、备份管理员和工作负载项目
logging.logWriter logging.logs.write 工作负载项目
compute.admin compute.instances.create 工作负载项目
compute.instances.delete 工作负载项目
compute.disks.create 工作负载项目
compute.disks.delete 工作负载项目
compute.instances.setMetadata 工作负载项目
compute.subnetworks.get VPC 项目
compute.subnetworks.use VPC 项目
compute.subnetworks.setPrivateIpGoogleAccess VPC 项目
compute.firewalls.create VPC 项目
compute.firewalls.delete VPC 项目
backupdr.admin backupdr.managementservers.manageInternalACL Backup Admin 项目

安装完成后,如需对工作负载项目执行日常运维

系统会移除部署和安装所需的所有权限,但 iam.serviceAccountUseriam.serviceAccounts.actAs 除外。添加了日常运维所需的两个 CloudKMS 角色,这些角色仅限于单个密钥串。

角色 所需权限
iam.serviceAccountUser iam.serviceAccounts.actAs
cloudkms.cryptoKeyEncrypterDecrypter* cloudkms.cryptoKeyVersions.useToDecrypt
cloudkms.cryptoKeyVersions.useToEncrypt
cloudkms.admin* cloudkms.keyRings.get
backupdr.computeEngineOperator* 角色中列出的所有权限。
backupdr.cloudStorageOperator** 角色中列出的所有权限。

* cloudkms 角色位于单个密钥环中。
**cloudStorageOperator 角色适用于名称以备份/恢复设备名称开头的存储分区。

用于在项目中创建防火墙的权限

这些 IAM 权限仅在创建防火墙时用于在拥有 VPC 的项目上创建防火墙。

compute.firewalls.create
compute.firewalls.delete
compute.firewalls.get
compute.firewalls.list
compute.firewalls.update
compute.networks.list
compute.networks.get
compute.networks.updatePolicy

安装后,所有其他权限都不再需要。