Compute Engine 인스턴스를 백업, 마운트, 복원하는 IAM 역할 및 권한

이 페이지에는 Compute Engine 인스턴스를 백업, 마운트, 복원하는 데 필요한 IAM 역할 및 권한이 나열되어 있습니다.

IAM 역할 및 권한

인스턴스를 백업, 마운트, 복원하려면 백업/복구 어플라이언스의 서비스 계정에 Backup and DR Compute Engine Operator 역할을 할당하거나 맞춤 역할을 만들고 이 페이지에 나열된 모든 권한을 할당해야 합니다.

다음은 Compute Engine 인스턴스를 백업, 마운트, 복원하는 데 필요한 사전 정의된 Compute Engine IAM 권한을 보여줍니다.

  • Compute Engine 인스턴스 백업

    • compute.disks.createSnapshot
    • compute.disks.get
    • compute.instances.list
    • compute.instances.setLabels
    • compute.regions.get
    • compute.regionOperations.get
    • compute.snapshots.create
    • compute.snapshots.delete
    • compute.snapshots.get
    • compute.snapshots.setLabels
    • compute.snapshots.useReadOnly
    • compute.zones.list
    • compute.zoneOperations.get
    • iam.serviceAccounts.actAs
    • iam.serviceAccounts.get
    • iam.serviceAccounts.list
    • resourcemanager.projects.get
    • resourcemanager.projects.list

  • 기존 Compute Engine 인스턴스에 마운트

    • compute.disks.create
    • compute.disks.delete
    • compute.disks.get
    • compute.disks.use
    • compute.diskTypes.get
    • compute.diskTypes.list
    • compute.images.create
    • compute.images.delete
    • compute.images.get
    • compute.images.useReadOnly
    • compute.instances.attachDisk
    • compute.instances.create
    • compute.instances.delete
    • compute.instances.detachDisk
    • compute.instances.get
    • compute.instances.list
    • compute.instances.setMetadata
    • compute.regions.get
    • compute.regions.list
    • compute.regionOperations.get
    • compute.zones.list
    • iam.serviceAccounts.actAs
    • iam.serviceAccounts.get
    • iam.serviceAccounts.list
    • resourcemanager.projects.get

  • 새 Compute Engine 인스턴스에 마운트하고 인스턴스 복원

    • compute.addresses.list
    • compute.diskTypes.get
    • compute.diskTypes.list
    • compute.disks.create
    • compute.disks.createSnapshot
    • compute.disks.delete
    • compute.disks.get
    • compute.disks.setLabels
    • compute.disks.use
    • compute.firewalls.list
    • compute.globalOperations.get
    • compute.images.create
    • compute.images.delete
    • compute.images.get
    • compute.images.useReadOnly
    • compute.instances.attachDisk
    • compute.instances.create
    • compute.instances.delete
    • compute.instances.detachDisk
    • compute.instances.get
    • compute.instances.list
    • compute.instances.setLabels
    • compute.instances.setMetadata
    • compute.instances.setServiceAccount
    • compute.instances.setTags
    • compute.instances.start
    • compute.instances.stop
    • compute.machineTypes.get
    • compute.machineTypes.list
    • compute.networks.list
    • compute.nodeGroups.list
    • compute.nodeGroups.get
    • compute.nodeTemplates.get
    • compute.projects.get
    • compute.regions.get
    • compute.regionOperations.get
    • compute.snapshots.create
    • compute.snapshots.get
    • compute.snapshots.setLabels
    • compute.snapshots.useReadOnly
    • compute.subnetworks.list
    • compute.subnetworks.use
    • compute.subnetworks.useExternalIp
    • compute.zoneOperations.get
    • compute.zones.list
    • iam.serviceAccounts.actAs
    • iam.serviceAccounts.get
    • iam.serviceAccounts.list
    • resourcemanager.projects.get

고객 관리 암호화 키로 Compute Engine 인스턴스를 마운트할 권한

Compute Engine 백업 이미지를 기존 또는 새 Compute Engine 인스턴스로 마운트하려면(소스 디스크에서 고객 관리 암호화 키(CMEK)를 사용하는 경우) 대상 프로젝트에서 Compute Engine 서비스 에이전트의 서비스 계정 이름을 복사하여 소스 프로젝트에 추가하고 다음과 같이 CryptoKey Encrypter/Decrypter 역할을 할당해야 합니다.

CMEK를 사용할 때 권한을 추가하려면 다음 안내를 따르세요.

  1. 프로젝트 드롭다운에서 대상 프로젝트를 선택합니다.
  2. 왼쪽 탐색 메뉴에서 IAM 및 관리자 > IAM으로 이동합니다.
  3. Google 제공 역할 부여 포함을 선택합니다.
  4. Compute Engine 서비스 에이전트 서비스 계정을 찾아 주 구성원의 ID를 복사합니다. 이메일 주소 형식(예: my-service-account@my-project.iam.gserviceaccount.com)입니다.
  5. 키가 생성된 프로젝트 드롭다운에서 소스 프로젝트를 선택합니다.
  6. 왼쪽 탐색 메뉴에서 IAM 및 관리자 > IAM으로 이동합니다.
  7. 액세스 권한 부여를 선택합니다.
  8. 주 구성원 추가에서 대상 프로젝트의 Compute Engine 서비스 에이전트 ID를 붙여넣습니다.
  9. 역할 할당에서 Cloud KMS CryptoKey Encrypter/Decrypter 역할을 할당합니다.
  10. 저장을 선택합니다.

백업 및 DR Compute Engine 가이드