Referencia de permisos y roles de instalación del servicio de copia de seguridad y recuperación tras fallos
Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
Durante el proceso de implementación, una cuenta de servicio creada en tu nombre usa estos permisos durante la implementación.
La cuenta de servicio usa estos permisos para instalar el dispositivo de copia de seguridad o recuperación.
La cuenta de servicio tiene muchos privilegios en el proyecto de VPC de destino y en los proyectos de consumidor durante la instalación. La mayoría de estos permisos se eliminan a medida que avanza la instalación. En la siguiente tabla se indican los roles concedidos a la cuenta de servicio y los permisos necesarios en cada rol.
Rol
Permisos necesarios
Si es una VPC compartida, asigna el valor:
resourcemanager.projectIamAdmin
resourcemanager.projects.getIamPolicy
Propietario de la VPC, administrador de copias de seguridad y proyectos de carga de trabajo
resourcemanager.projects.setIamPolicy
Propietario de la VPC, administrador de copias de seguridad y proyectos de carga de trabajo
iam.serviceAccountUser
iam.serviceAccounts.actAs
Proyecto de carga de trabajo
iam.serviceAccountTokenCreator
iam.serviceAccounts.getOpenIdToken
Proyecto de carga de trabajo
cloudkms.admin
cloudkms.keyRings.create
Propietario de la VPC, administrador de copias de seguridad y proyectos de carga de trabajo
cloudkms.keyRings.getIamPolicy
Propietario de la VPC, administrador de copias de seguridad y proyectos de carga de trabajo
cloudkms.keyRings.setIamPolicy
Propietario de la VPC, administrador de copias de seguridad y proyectos de carga de trabajo
logging.logWriter
logging.logs.write
Proyecto de carga de trabajo
compute.admin
compute.instances.create
Proyecto de carga de trabajo
compute.instances.delete
Proyecto de carga de trabajo
compute.disks.create
Proyecto de carga de trabajo
compute.disks.delete
Proyecto de carga de trabajo
compute.instances.setMetadata
Proyecto de carga de trabajo
compute.subnetworks.get
Proyecto de VPC
compute.subnetworks.use
Proyecto de VPC
compute.subnetworks.setPrivateIpGoogleAccess
Proyecto de VPC
compute.firewalls.create
Proyecto de VPC
compute.firewalls.delete
Proyecto de VPC
backupdr.admin
backupdr.managementservers.manageInternalACL
Proyecto de administrador de copias de seguridad
Una vez finalizada la instalación, para las operaciones diarias en el proyecto de carga de trabajo
Se han eliminado todos los permisos necesarios para la implementación y la instalación, excepto iam.serviceAccountUser y iam.serviceAccounts.actAs. Se añaden dos roles de cloudkms necesarios para las operaciones diarias, que se restringen a un solo conjunto de claves.
Rol
Permisos necesarios
iam.serviceAccountUser
iam.serviceAccounts.actAs
cloudkms.cryptoKeyEncrypterDecrypter*
cloudkms.cryptoKeyVersions.useToDecrypt
cloudkms.cryptoKeyVersions.useToEncrypt
cloudkms.admin*
cloudkms.keyRings.get
backupdr.computeEngineOperator*
Todos los permisos que se indican en el rol.
backupdr.cloudStorageOperator**
Todos los permisos que se indican en el rol.
* Los roles cloudkms están en un solo conjunto de claves. ** El rol cloudStorageOperator se asigna a los contenedores cuyos nombres empiezan por el nombre del dispositivo de copia de seguridad o de recuperación.
Permisos usados para crear un cortafuegos en el proyecto
Estos permisos de IAM se usan para crear un cortafuegos en el proyecto propietario de la VPC solo durante la creación del cortafuegos.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-08-21 (UTC)."],[[["\u003cp\u003eA highly privileged service account is temporarily used during the backup/recovery appliance deployment process, which is utilized to perform the installation.\u003c/p\u003e\n"],["\u003cp\u003eThe service account is granted specific roles and permissions in the target, VPC, and consumer projects, as detailed in the provided table, including project IAM admin, service account user, and Cloud KMS administration roles, among others.\u003c/p\u003e\n"],["\u003cp\u003eAfter the installation is complete, most of the granted permissions are removed, and only \u003ccode\u003eiam.serviceAccountUser\u003c/code\u003e and \u003ccode\u003eiam.serviceAccounts.actAs\u003c/code\u003e remain, along with two restricted Cloud KMS roles.\u003c/p\u003e\n"],["\u003cp\u003eCertain IAM permissions are also used for creating a firewall on the VPC project, but they are only needed during firewall creation.\u003c/p\u003e\n"],["\u003cp\u003eAll permissions granted during the deployment process are no longer required after the completion of installation, except those specified for daily operation.\u003c/p\u003e\n"]]],[],null,["# Backup and DR Service installation permissions and roles reference\n\nDuring the deployment process, a service account created on your behalf uses\nthese permissions for the duration of the deployment.\n\nThe service account uses these permissions to install the backup/recovery appliance\n-----------------------------------------------------------------------------------\n\nThe service account is highly privileged in the target, VPC project,\nand consumer projects during the installation. Most of these permissions are\nremoved as the installation progresses. The following table contains the roles\ngranted to the service account and the permissions needed within each role.\n\nAfter installation is finished, for daily operation on the workload project\n---------------------------------------------------------------------------\n\nAll of the permissions required for deployment and installation are removed\nexcept for `iam.serviceAccountUser` and `iam.serviceAccounts.actAs`. Two cloudkms\nroles needed for daily operation are added, restricted to a single key ring.\n\n`*` The `cloudkms` roles are on a single key ring. \n\n`**` The `cloudStorageOperator` role is on buckets with names that start with\nthe name of the backup/recovery appliance.\n\nPermissions used to create a firewall on the project\n----------------------------------------------------\n\nThese IAM permissions are used to create a firewall on the\nproject that owns the VPC only during firewall creation. \n\n compute.firewalls.create\n compute.firewalls.delete\n compute.firewalls.get\n compute.firewalls.list\n compute.firewalls.update\n compute.networks.list\n compute.networks.get\n compute.networks.updatePolicy\n\n**All other permissions are no longer needed after installation.**"]]
