Durante el proceso de implementación, una cuenta de servicio creada en tu nombre usa estos permisos durante la implementación.
La cuenta de servicio usa estos permisos para instalar el dispositivo de copia de seguridad o recuperación.
La cuenta de servicio tiene muchos privilegios en el proyecto de destino, el proyecto de VPC y los proyectos de consumidor durante la instalación. La mayoría de estos permisos se quitan a medida que avanza la instalación. En la siguiente tabla, se incluyen los roles otorgados a la cuenta de servicio y los permisos necesarios en cada uno de ellos.
| Rol | Se necesitan permisos | Si es una VPC compartida, asigna a lo siguiente: |
|---|---|---|
| resourcemanager.projectIamAdmin | resourcemanager.projects.getIamPolicy | Propietario de la VPC, administrador de copias de seguridad y proyectos de carga de trabajo |
| resourcemanager.projects.setIamPolicy | Propietario de la VPC, administrador de copias de seguridad y proyectos de carga de trabajo | |
| iam.serviceAccountUser | iam.serviceAccounts.actAs | Proyecto de carga de trabajo |
| iam.serviceAccountTokenCreator | iam.serviceAccounts.getOpenIdToken | Proyecto de carga de trabajo |
| cloudkms.admin | cloudkms.keyRings.create | Propietario de la VPC, administrador de copias de seguridad y proyectos de carga de trabajo |
| cloudkms.keyRings.getIamPolicy | Propietario de la VPC, administrador de copias de seguridad y proyectos de carga de trabajo | |
| cloudkms.keyRings.setIamPolicy | Propietario de la VPC, administrador de copias de seguridad y proyectos de carga de trabajo | |
| logging.logWriter | logging.logs.write | Proyecto de carga de trabajo |
| compute.admin | compute.instances.create | Proyecto de carga de trabajo |
| compute.instances.delete | Proyecto de carga de trabajo | |
| compute.disks.create | Proyecto de carga de trabajo | |
| compute.disks.delete | Proyecto de carga de trabajo | |
| compute.instances.setMetadata | Proyecto de carga de trabajo | |
| compute.subnetworks.get | Proyecto de VPC | |
| compute.subnetworks.use | Proyecto de VPC | |
| compute.subnetworks.setPrivateIpGoogleAccess | Proyecto de VPC | |
| compute.firewalls.create | Proyecto de VPC | |
| compute.firewalls.delete | Proyecto de VPC | |
| backupdr.admin | backupdr.managementservers.manageInternalACL | Proyecto de administrador de copias de seguridad |
Después de que finalice la instalación, para la operación diaria en el proyecto de carga de trabajo
Se quitan todos los permisos necesarios para la implementación y la instalación, excepto iam.serviceAccountUser y iam.serviceAccounts.actAs. Se agregan dos roles de cloudkms necesarios para la operación diaria, restringidos a un solo llavero.
| Rol | Se necesitan permisos |
|---|---|
| iam.serviceAccountUser | iam.serviceAccounts.actAs |
| cloudkms.cryptoKeyEncrypterDecrypter* | cloudkms.cryptoKeyVersions.useToDecrypt |
| cloudkms.cryptoKeyVersions.useToEncrypt | |
| cloudkms.admin* | cloudkms.keyRings.get |
| backupdr.computeEngineOperator* | Todos los permisos que se indican en el rol |
| backupdr.cloudStorageOperator** | Todos los permisos que se indican en el rol |
* Los roles de cloudkms se encuentran en un solo llavero.
** El rol cloudStorageOperator se encuentra en buckets con nombres que comienzan con el nombre del dispositivo de copia de seguridad o recuperación.
Permisos que se usan para crear un firewall en el proyecto
Estos permisos de IAM se usan para crear un firewall en el proyecto que es propietario de la VPC solo durante la creación del firewall.
compute.firewalls.create
compute.firewalls.delete
compute.firewalls.get
compute.firewalls.list
compute.firewalls.update
compute.networks.list
compute.networks.get
compute.networks.updatePolicy
Después de la instalación, ya no se necesitan los demás permisos.