Roles y permisos de IAM para crear copias de seguridad, activar y restablecer instancias de Compute Engine

En esta página, se enumeran los roles y permisos de IAM necesarios para crear copias de seguridad, activar y restablecer una instancia de Compute Engine.

Permisos y funciones de IAM

Para crear una copia de seguridad, activar y restablecer una instancia, debes asignar el rol Backup and DR Compute Engine Operator a la cuenta de servicio del dispositivo de copia de seguridad o recuperación, o bien crear un rol personalizado y asignarle todos los permisos que se indican en esta página.

A continuación, se enumeran los permisos de IAM predefinidos de Compute Engine necesarios para crear copias de seguridad, activar y restablecer instancias de Compute Engine.

  • Crea una copia de seguridad de una instancia de Compute Engine

    • compute.disks.createSnapshot
    • compute.disks.get
    • compute.instances.list
    • compute.instances.setLabels
    • compute.regions.get
    • compute.regionOperations.get
    • compute.snapshots.create
    • compute.snapshots.delete
    • compute.snapshots.get
    • compute.snapshots.setLabels
    • compute.snapshots.useReadOnly
    • compute.zones.list
    • compute.zoneOperations.get
    • iam.serviceAccounts.actAs
    • iam.serviceAccounts.get
    • iam.serviceAccounts.list
    • resourcemanager.projects.get
    • resourcemanager.projects.list

  • Cómo activar la unidad en una instancia de Compute Engine existente

    • compute.disks.create
    • compute.disks.delete
    • compute.disks.get
    • compute.disks.use
    • compute.diskTypes.get
    • compute.diskTypes.list
    • compute.images.create
    • compute.images.delete
    • compute.images.get
    • compute.images.useReadOnly
    • compute.instances.attachDisk
    • compute.instances.create
    • compute.instances.delete
    • compute.instances.detachDisk
    • compute.instances.get
    • compute.instances.list
    • compute.instances.setMetadata
    • compute.regions.get
    • compute.regions.list
    • compute.regionOperations.get
    • compute.zones.list
    • iam.serviceAccounts.actAs
    • iam.serviceAccounts.get
    • iam.serviceAccounts.list
    • resourcemanager.projects.get

  • Activa la instancia nueva de Compute Engine y restablece la instancia

    • compute.addresses.list
    • compute.diskTypes.get
    • compute.diskTypes.list
    • compute.disks.create
    • compute.disks.createSnapshot
    • compute.disks.delete
    • compute.disks.get
    • compute.disks.setLabels
    • compute.disks.use
    • compute.firewalls.list
    • compute.globalOperations.get
    • compute.images.create
    • compute.images.delete
    • compute.images.get
    • compute.images.useReadOnly
    • compute.instances.attachDisk
    • compute.instances.create
    • compute.instances.delete
    • compute.instances.detachDisk
    • compute.instances.get
    • compute.instances.list
    • compute.instances.setLabels
    • compute.instances.setMetadata
    • compute.instances.setServiceAccount
    • compute.instances.setTags
    • compute.instances.start
    • compute.instances.stop
    • compute.machineTypes.get
    • compute.machineTypes.list
    • compute.networks.list
    • compute.nodeGroups.list
    • compute.nodeGroups.get
    • compute.nodeTemplates.get
    • compute.projects.get
    • compute.regions.get
    • compute.regionOperations.get
    • compute.snapshots.create
    • compute.snapshots.get
    • compute.snapshots.setLabels
    • compute.snapshots.useReadOnly
    • compute.subnetworks.list
    • compute.subnetworks.use
    • compute.subnetworks.useExternalIp
    • compute.zoneOperations.get
    • compute.zones.list
    • iam.serviceAccounts.actAs
    • iam.serviceAccounts.get
    • iam.serviceAccounts.list
    • resourcemanager.projects.get

Permisos para activar una instancia de Compute Engine con claves de encriptación administradas por el cliente

Para activar una imagen de copia de seguridad de Compute Engine como una instancia de Compute Engine existente o nueva, en la que el disco de origen usa claves de encriptación administradas por el cliente (CMEK), debes copiar el nombre de la cuenta de servicio del agente de servicio de Compute Engine del proyecto de destino y agregarlo al proyecto de origen, y asignar el rol CryptoKey Encrypter/Decrypter detallado a continuación.

Sigue estas instrucciones para agregar permisos cuando uses CMEK:

  1. En el menú desplegable Project, selecciona tu proyecto de destino.
  2. En el menú de navegación de la izquierda, ve a IAM y administración > IAM.
  3. Selecciona Incluir asignaciones de roles proporcionadas por Google.
  4. Busca la cuenta de servicio del Agente de servicio de Compute Engine y copia el ID del principal. Tiene el formato de una dirección de correo electrónico, como my-service-account@my-project.iam.gserviceaccount.com.
  5. Selecciona tu proyecto de origen en el menú desplegable Project en el que se creó la clave.
  6. En el menú de navegación de la izquierda, ve a IAM y administración > IAM.
  7. Selecciona Otorgar acceso.
  8. En Agregar miembros, pega el ID del agente de servicio de Compute Engine del proyecto de destino.
  9. En Asignar roles, asigna el rol Cloud KMS CryptoKey Encrypter/Decrypter.
  10. Selecciona Guardar.

Guía de Backup and DR de Compute Engine