Peran dan izin IAM untuk mencadangkan, memasang, dan memulihkan instance Compute Engine

Halaman ini mencantumkan peran dan izin IAM yang diperlukan untuk mencadangkan, memasang, dan memulihkan instance Compute Engine.

Peran dan izin IAM

Untuk mencadangkan, memasang, dan memulihkan instance, Anda harus menetapkan peran Backup and DR Compute Engine Operator ke akun layanan perangkat pencadangan/pemulihan atau membuat peran kustom dan menetapkan semua izin yang tercantum di halaman ini.

Berikut adalah daftar izin IAM Compute Engine yang telah ditetapkan dan diperlukan untuk mencadangkan, memasang, dan memulihkan instance Compute Engine.

• Mencadangkan instance Compute Engine

  • compute.disks.createSnapshot
  • compute.disks.get
  • compute.instances.list
  • compute.instances.setLabels
  • compute.regions.get
  • compute.regionOperations.get
  • compute.snapshots.create
  • compute.snapshots.delete
  • compute.snapshots.get
  • compute.snapshots.setLabels
  • compute.snapshots.useReadOnly
  • compute.zones.list
  • compute.zoneOperations.get
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

• Memasang ke instance Compute Engine yang ada

  • compute.disks.create
  • compute.disks.delete
  • compute.disks.get
  • compute.disks.use
  • compute.diskTypes.get
  • compute.diskTypes.list
  • compute.images.create
  • compute.images.delete
  • compute.images.get
  • compute.images.useReadOnly
  • compute.instances.attachDisk
  • compute.instances.create
  • compute.instances.delete
  • compute.instances.detachDisk
  • compute.instances.get
  • compute.instances.list
  • compute.instances.setMetadata
  • compute.regions.get
  • compute.regions.list
  • compute.regionOperations.get
  • compute.zones.list
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get

• Memasang ke instance Compute Engine baru dan memulihkan instance

  • compute.addresses.list
  • compute.diskTypes.get
  • compute.diskTypes.list
  • compute.disks.create
  • compute.disks.createSnapshot
  • compute.disks.delete
  • compute.disks.get
  • compute.disks.setLabels
  • compute.disks.use
  • compute.firewalls.list
  • compute.globalOperations.get
  • compute.images.create
  • compute.images.delete
  • compute.images.get
  • compute.images.useReadOnly
  • compute.instances.attachDisk
  • compute.instances.create
  • compute.instances.delete
  • compute.instances.detachDisk
  • compute.instances.get
  • compute.instances.list
  • compute.instances.setLabels
  • compute.instances.setMetadata
  • compute.instances.setServiceAccount
  • compute.instances.setTags
  • compute.instances.start
  • compute.instances.stop
  • compute.machineTypes.get
  • compute.machineTypes.list
  • compute.networks.list
  • compute.nodeGroups.list
  • compute.nodeGroups.get
  • compute.nodeTemplates.get
  • compute.projects.get
  • compute.regions.get
  • compute.regionOperations.get
  • compute.snapshots.create
  • compute.snapshots.get
  • compute.snapshots.setLabels
  • compute.snapshots.useReadOnly
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.zoneOperations.get
  • compute.zones.list
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get

Izin untuk memasang instance Compute Engine dengan kunci enkripsi yang dikelola pelanggan

Untuk memasang image cadangan Compute Engine sebagai instance Compute Engine yang ada atau baru, dengan disk sumber menggunakan kunci enkripsi yang dikelola pelanggan (CMEK), Anda harus menyalin nama akun layanan agen layanan Compute Engine dari project target dan menambahkannya di project sumber, lalu menetapkan peran CryptoKey Encrypter/Decrypter yang dijelaskan sebagai berikut.

Gunakan petunjuk berikut untuk menambahkan izin saat menggunakan CMEK:

1. Dari menu drop-down Project, pilih project target Anda.
2. Dari menu navigasi sebelah kiri, buka IAM & Admin > IAM
3. Pilih Sertakan pemberian peran yang disediakan Google.
4. Temukan akun layanan Compute Engine Service Agent dan salin ID Principal. Formatnya adalah alamat email, seperti my-service-account@my-project.iam.gserviceaccount.com.
5. Pilih project sumber Anda dari menu drop-down Project tempat kunci dibuat.
6. Dari menu navigasi sebelah kiri, buka IAM & Admin > IAM.
7. Pilih Berikan Akses.
8. Di Add Principals, tempelkan ID agen layanan Compute Engine dari project target.
9. Di Tetapkan peran, tetapkan peran Cloud KMS CryptoKey Encrypter/Decrypter.
10. Pilih Simpan.

Panduan Compute Engine Backup and DR

• Memeriksa kredensial cloud
• Menemukan dan melindungi instance Compute Engine
• Memasang image cadangan instance Compute Engine
• Merestor instance Compute Engine
• Mengimpor image snapshot persistent disk