Papéis e permissões do IAM para fazer backup, montar e restaurar instâncias do Compute Engine

Esta página lista os papéis e as permissões do IAM necessários para fazer backup, montar e restaurar uma instância do Compute Engine.

Permissões e papéis do IAM

Para fazer backup, montar e restaurar uma instância, é necessário atribuir o papel Backup and DR Compute Engine Operator à conta de serviço do dispositivo de backup/recuperação ou criar uma função personalizada e atribuir todas as permissões listadas nesta página.

A lista a seguir mostra as permissões predefinidas do IAM do Compute Engine necessárias para fazer backup, montar e restaurar instâncias do Compute Engine.

• Fazer backup da instância do Compute Engine

  • compute.disks.createSnapshot
  • compute.disks.get
  • compute.instances.list
  • compute.instances.setLabels
  • compute.regions.get
  • compute.regionOperations.get
  • compute.snapshots.create
  • compute.snapshots.delete
  • compute.snapshots.get
  • compute.snapshots.setLabels
  • compute.snapshots.useReadOnly
  • compute.zones.list
  • compute.zoneOperations.get
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

• Montar na instância do Compute Engine

  • compute.disks.create
  • compute.disks.delete
  • compute.disks.get
  • compute.disks.use
  • compute.diskTypes.get
  • compute.diskTypes.list
  • compute.images.create
  • compute.images.delete
  • compute.images.get
  • compute.images.useReadOnly
  • compute.instances.attachDisk
  • compute.instances.create
  • compute.instances.delete
  • compute.instances.detachDisk
  • compute.instances.get
  • compute.instances.list
  • compute.instances.setMetadata
  • compute.regions.get
  • compute.regions.list
  • compute.regionOperations.get
  • compute.zones.list
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get

• Montar e restaurar uma instância do Compute Engine

  • compute.addresses.list
  • compute.diskTypes.get
  • compute.diskTypes.list
  • compute.disks.create
  • compute.disks.createSnapshot
  • compute.disks.delete
  • compute.disks.get
  • compute.disks.setLabels
  • compute.disks.use
  • compute.firewalls.list
  • compute.globalOperations.get
  • compute.images.create
  • compute.images.delete
  • compute.images.get
  • compute.images.useReadOnly
  • compute.instances.attachDisk
  • compute.instances.create
  • compute.instances.delete
  • compute.instances.detachDisk
  • compute.instances.get
  • compute.instances.list
  • compute.instances.setLabels
  • compute.instances.setMetadata
  • compute.instances.setServiceAccount
  • compute.instances.setTags
  • compute.instances.start
  • compute.instances.stop
  • compute.machineTypes.get
  • compute.machineTypes.list
  • compute.networks.list
  • compute.nodeGroups.list
  • compute.nodeGroups.get
  • compute.nodeTemplates.get
  • compute.projects.get
  • compute.regions.get
  • compute.regionOperations.get
  • compute.snapshots.create
  • compute.snapshots.get
  • compute.snapshots.setLabels
  • compute.snapshots.useReadOnly
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.zoneOperations.get
  • compute.zones.list
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get

Permissões para montar uma instância do Compute Engine com chaves de criptografia gerenciadas pelo cliente

Para montar uma imagem de backup do Compute Engine como uma instância atual ou nova do Compute Engine, em que o disco de origem usa chaves de criptografia gerenciadas pelo cliente (CMEK), é necessário copiar o nome da conta de serviço do agente de serviço do Compute Engine do projeto de destino, adicioná-lo ao projeto de origem e atribuir o papel CryptoKey Encrypter/Decrypter, conforme detalhado a seguir.

Siga as instruções abaixo para adicionar permissões ao usar a CMEK:

1. No menu suspenso Project, selecione o projeto de destino.
2. No menu de navegação à esquerda, acesse IAM e administrador > IAM.
3. Selecione Incluir concessões de papel fornecidas pelo Google.
4. Encontre a conta de serviço do agente de serviço do Compute Engine e copie o ID do principal. Ele está no formato de endereço de e-mail, como my-service-account@my-project.iam.gserviceaccount.com.
5. Selecione o projeto de origem no menu suspenso Project em que a chave foi criada.
6. No menu de navegação à esquerda, acesse IAM e administrador > IAM.
7. Selecione Conceder acesso.
8. Em Adicionar principais, cole o ID do agente de serviço do Compute Engine do projeto de destino.
9. Em Atribuir funções, atribua o papel Cloud KMS CryptoKey Encrypter/Decrypter.
10. Selecione Salvar.

Guia do Compute Engine para backup e DR

• Verificar as credenciais da nuvem
• Descubra e proteja instâncias do Compute Engine
• Montar imagens de backup de instâncias do Compute Engine
• Restaurar uma instância do Compute Engine
• Importar imagens de snapshots de disco permanente