IAM-Rollen und -Berechtigungen zum Sichern, Bereitstellen und Wiederherstellen von Compute Engine-Instanzen

Auf dieser Seite sind die IAM-Rollen und -Berechtigungen aufgeführt, die zum Sichern, Bereitstellen und Wiederherstellen einer Compute Engine-Instanz erforderlich sind.

IAM-Rollen und -Berechtigungen

Wenn Sie eine Instanz sichern, bereitstellen und wiederherstellen möchten, müssen Sie dem Dienstkonto der Sicherungs-/Wiederherstellungs-Appliance die Rolle Backup and DR Compute Engine Operator zuweisen oder eine benutzerdefinierte Rolle erstellen und alle auf dieser Seite aufgeführten Berechtigungen zuweisen.

Im Folgenden sind die vordefinierten Compute Engine-IAM-Berechtigungen aufgeführt, die zum Sichern, Bereitstellen und Wiederherstellen von Compute Engine-Instanzen erforderlich sind.

  • Compute Engine-Instanz sichern

    • compute.disks.createSnapshot
    • compute.disks.get
    • compute.instances.list
    • compute.instances.setLabels
    • compute.regions.get
    • compute.regionOperations.get
    • compute.snapshots.create
    • compute.snapshots.delete
    • compute.snapshots.get
    • compute.snapshots.setLabels
    • compute.snapshots.useReadOnly
    • compute.zones.list
    • compute.zoneOperations.get
    • iam.serviceAccounts.actAs
    • iam.serviceAccounts.get
    • iam.serviceAccounts.list
    • resourcemanager.projects.get
    • resourcemanager.projects.list

  • An vorhandene Compute Engine-Instanz anhängen

    • compute.disks.create
    • compute.disks.delete
    • compute.disks.get
    • compute.disks.use
    • compute.diskTypes.get
    • compute.diskTypes.list
    • compute.images.create
    • compute.images.delete
    • compute.images.get
    • compute.images.useReadOnly
    • compute.instances.attachDisk
    • compute.instances.create
    • compute.instances.delete
    • compute.instances.detachDisk
    • compute.instances.get
    • compute.instances.list
    • compute.instances.setMetadata
    • compute.regions.get
    • compute.regions.list
    • compute.regionOperations.get
    • compute.zones.list
    • iam.serviceAccounts.actAs
    • iam.serviceAccounts.get
    • iam.serviceAccounts.list
    • resourcemanager.projects.get

  • Datenträger an neue Compute Engine-Instanz anhängen und Instanz wiederherstellen

    • compute.addresses.list
    • compute.diskTypes.get
    • compute.diskTypes.list
    • compute.disks.create
    • compute.disks.createSnapshot
    • compute.disks.delete
    • compute.disks.get
    • compute.disks.setLabels
    • compute.disks.use
    • compute.firewalls.list
    • compute.globalOperations.get
    • compute.images.create
    • compute.images.delete
    • compute.images.get
    • compute.images.useReadOnly
    • compute.instances.attachDisk
    • compute.instances.create
    • compute.instances.delete
    • compute.instances.detachDisk
    • compute.instances.get
    • compute.instances.list
    • compute.instances.setLabels
    • compute.instances.setMetadata
    • compute.instances.setServiceAccount
    • compute.instances.setTags
    • compute.instances.start
    • compute.instances.stop
    • compute.machineTypes.get
    • compute.machineTypes.list
    • compute.networks.list
    • compute.nodeGroups.list
    • compute.nodeGroups.get
    • compute.nodeTemplates.get
    • compute.projects.get
    • compute.regions.get
    • compute.regionOperations.get
    • compute.snapshots.create
    • compute.snapshots.get
    • compute.snapshots.setLabels
    • compute.snapshots.useReadOnly
    • compute.subnetworks.list
    • compute.subnetworks.use
    • compute.subnetworks.useExternalIp
    • compute.zoneOperations.get
    • compute.zones.list
    • iam.serviceAccounts.actAs
    • iam.serviceAccounts.get
    • iam.serviceAccounts.list
    • resourcemanager.projects.get

Berechtigungen zum Bereitstellen einer Compute Engine-Instanz mit vom Kunden verwalteten Verschlüsselungsschlüsseln

Wenn Sie ein Compute Engine-Sicherungs-Image als vorhandene oder neue Compute Engine-Instanz bereitstellen möchten, bei der der Quelldatenträger CMEK-Schlüssel (Customer Managed Encryption Keys) verwendet, müssen Sie den Namen des Dienstkontos des Compute Engine-Dienst-Agents aus dem Zielprojekt kopieren, in das Quellprojekt einfügen und ihm die Rolle CryptoKey Encrypter/Decrypter zuweisen. Gehen Sie dazu so vor:

So fügen Sie bei Verwendung von CMEK Berechtigungen hinzu:

  1. Wählen Sie im Drop-down-Menü Projekt das Zielprojekt aus.
  2. Klicken Sie im Navigationsmenü links auf IAM und Verwaltung > IAM.
  3. Wählen Sie Von Google bereitgestellte Rollenzuweisungen einschließen aus.
  4. Suchen Sie das Dienstkonto Compute Engine-Dienst-Agent und kopieren Sie die ID des Hauptkontos. Diese muss im Format einer E-Mail-Adresse sein, z. B. mein-dienstkonto@mein-projekt.iam.gserviceaccount.com.
  5. Wählen Sie im Drop-down-Menü Projekt das Quellprojekt aus, in dem der Schlüssel erstellt wurde.
  6. Klicken Sie im linken Navigationsmenü auf IAM & Verwaltung > IAM.
  7. Wählen Sie Zugriff gewähren aus.
  8. Fügen Sie unter Hauptkonten hinzufügen die ID des Compute Engine-Dienst-Agents aus dem Zielprojekt ein.
  9. Weisen Sie unter Rollen zuweisen die Rolle Cloud KMS CryptoKey Encrypter/Decrypter zu.
  10. Klicken Sie auf Speichern.

Leitfaden zur Compute Engine für Sicherungen und Notfallwiederherstellungen