Während der Bereitstellung werden diese Berechtigungen für die Dauer der Bereitstellung von einem in Ihrem Namen erstellten Dienstkonto verwendet.
Das Dienstkonto verwendet diese Berechtigungen, um die Sicherungs-/Wiederherstellungs-Appliance zu installieren.
Das Dienstkonto hat während der Installation im Ziel-, VPC- und Nutzerprojekt starke Berechtigungen. Die meisten dieser Berechtigungen werden im Laufe der Installation entfernt. Die folgende Tabelle enthält die dem Dienstkonto zugewiesenen Rollen und die für die einzelnen Rollen erforderlichen Berechtigungen.
| Rolle | Berechtigungen erforderlich | Bei einer freigegebenen VPC zuweisen Sie die Rolle Folgendem zu: |
|---|---|---|
| resourcemanager.projectIamAdmin | resourcemanager.projects.getIamPolicy | VPC-Inhaber, Sicherungsadministrator und Arbeitslastprojekte |
| resourcemanager.projects.setIamPolicy | VPC-Inhaber, Sicherungsadministrator und Arbeitslastprojekte | |
| iam.serviceAccountUser | iam.serviceAccounts.actAs | Arbeitslastprojekt |
| iam.serviceAccountTokenCreator | iam.serviceAccounts.getOpenIdToken | Arbeitslastprojekt |
| cloudkms.admin | cloudkms.keyRings.create | VPC-Inhaber, Sicherungsadministrator und Arbeitslastprojekte |
| cloudkms.keyRings.getIamPolicy | VPC-Inhaber, Sicherungsadministrator und Arbeitslastprojekte | |
| cloudkms.keyRings.setIamPolicy | VPC-Inhaber, Sicherungsadministrator und Arbeitslastprojekte | |
| logging.logWriter | logging.logs.write | Arbeitslastprojekt |
| compute.admin | compute.instances.create | Arbeitslastprojekt |
| compute.instances.delete | Arbeitslastprojekt | |
| compute.disks.create | Arbeitslastprojekt | |
| compute.disks.delete | Arbeitslastprojekt | |
| compute.instances.setMetadata | Arbeitslastprojekt | |
| compute.subnetworks.get | VPC-Projekt | |
| compute.subnetworks.use | VPC-Projekt | |
| compute.subnetworks.setPrivateIpGoogleAccess | VPC-Projekt | |
| compute.firewalls.create | VPC-Projekt | |
| compute.firewalls.delete | VPC-Projekt | |
| backupdr.admin | backupdr.managementservers.manageInternalACL | Sicherungsadministratorprojekt |
Nach Abschluss der Installation für den täglichen Betrieb des Arbeitslastprojekts
Alle für die Bereitstellung und Installation erforderlichen Berechtigungen werden entfernt, mit Ausnahme von iam.serviceAccountUser und iam.serviceAccounts.actAs. Es werden zwei für den täglichen Betrieb erforderliche cloudkms-Rollen hinzugefügt, die auf einen einzelnen Schlüsselanhänger beschränkt sind.
| Rolle | Berechtigungen erforderlich |
|---|---|
| iam.serviceAccountUser | iam.serviceAccounts.actAs |
| cloudkms.cryptoKeyEncrypterDecrypter* | cloudkms.cryptoKeyVersions.useToDecrypt |
| cloudkms.cryptoKeyVersions.useToEncrypt | |
| cloudkms.admin* | cloudkms.keyRings.get |
| backupdr.computeEngineOperator* | Alle in der Rolle aufgeführten Berechtigungen. |
| backupdr.cloudStorageOperator** | Alle in der Rolle aufgeführten Berechtigungen. |
* Die cloudkms-Rollen befinden sich auf einem einzigen Schlüsselbund.
** Die Rolle cloudStorageOperator gilt für Bucket mit Namen, die mit dem Namen der Sicherungs-/Wiederherstellungs-Appliance beginnen.
Berechtigungen zum Erstellen einer Firewall im Projekt
Diese IAM-Berechtigungen werden nur zum Erstellen einer Firewall im Projekt verwendet, zu dem die VPC gehört.
compute.firewalls.create
compute.firewalls.delete
compute.firewalls.get
compute.firewalls.list
compute.firewalls.update
compute.networks.list
compute.networks.get
compute.networks.updatePolicy
Alle anderen Berechtigungen sind nach der Installation nicht mehr erforderlich.