Referencia de roles y permisos de instalación del servicio Backup and DR
Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Durante el proceso de implementación, una cuenta de servicio creada en tu nombre usa estos permisos durante la implementación.
La cuenta de servicio usa estos permisos para instalar el dispositivo de copia de seguridad o recuperación.
La cuenta de servicio tiene muchos privilegios en el proyecto de destino, el proyecto de VPC y los proyectos de consumidor durante la instalación. La mayoría de estos permisos se quitan a medida que avanza la instalación. En la siguiente tabla, se incluyen los roles otorgados a la cuenta de servicio y los permisos necesarios en cada uno de ellos.
Rol
Se necesitan permisos
Si es una VPC compartida, asigna a lo siguiente:
resourcemanager.projectIamAdmin
resourcemanager.projects.getIamPolicy
Propietario de la VPC, administrador de copias de seguridad y proyectos de carga de trabajo
resourcemanager.projects.setIamPolicy
Propietario de la VPC, administrador de copias de seguridad y proyectos de carga de trabajo
iam.serviceAccountUser
iam.serviceAccounts.actAs
Proyecto de carga de trabajo
iam.serviceAccountTokenCreator
iam.serviceAccounts.getOpenIdToken
Proyecto de carga de trabajo
cloudkms.admin
cloudkms.keyRings.create
Propietario de la VPC, administrador de copias de seguridad y proyectos de carga de trabajo
cloudkms.keyRings.getIamPolicy
Propietario de la VPC, administrador de copias de seguridad y proyectos de carga de trabajo
cloudkms.keyRings.setIamPolicy
Propietario de la VPC, administrador de copias de seguridad y proyectos de carga de trabajo
logging.logWriter
logging.logs.write
Proyecto de carga de trabajo
compute.admin
compute.instances.create
Proyecto de carga de trabajo
compute.instances.delete
Proyecto de carga de trabajo
compute.disks.create
Proyecto de carga de trabajo
compute.disks.delete
Proyecto de carga de trabajo
compute.instances.setMetadata
Proyecto de carga de trabajo
compute.subnetworks.get
Proyecto de VPC
compute.subnetworks.use
Proyecto de VPC
compute.subnetworks.setPrivateIpGoogleAccess
Proyecto de VPC
compute.firewalls.create
Proyecto de VPC
compute.firewalls.delete
Proyecto de VPC
backupdr.admin
backupdr.managementservers.manageInternalACL
Proyecto de administrador de copias de seguridad
Después de que finalice la instalación, para la operación diaria en el proyecto de carga de trabajo
Se quitan todos los permisos necesarios para la implementación y la instalación, excepto iam.serviceAccountUser y iam.serviceAccounts.actAs. Se agregan dos roles de cloudkms necesarios para la operación diaria, restringidos a un solo llavero.
Rol
Se necesitan permisos
iam.serviceAccountUser
iam.serviceAccounts.actAs
cloudkms.cryptoKeyEncrypterDecrypter*
cloudkms.cryptoKeyVersions.useToDecrypt
cloudkms.cryptoKeyVersions.useToEncrypt
cloudkms.admin*
cloudkms.keyRings.get
backupdr.computeEngineOperator*
Todos los permisos que se indican en el rol
backupdr.cloudStorageOperator**
Todos los permisos que se indican en el rol
* Los roles de cloudkms se encuentran en un solo llavero. ** El rol cloudStorageOperator se encuentra en buckets con nombres que comienzan con el nombre del dispositivo de copia de seguridad o recuperación.
Permisos que se usan para crear un firewall en el proyecto
Estos permisos de IAM se usan para crear un firewall en el proyecto que es propietario de la VPC solo durante la creación del firewall.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)"],[[["\u003cp\u003eA highly privileged service account is temporarily used during the backup/recovery appliance deployment process, which is utilized to perform the installation.\u003c/p\u003e\n"],["\u003cp\u003eThe service account is granted specific roles and permissions in the target, VPC, and consumer projects, as detailed in the provided table, including project IAM admin, service account user, and Cloud KMS administration roles, among others.\u003c/p\u003e\n"],["\u003cp\u003eAfter the installation is complete, most of the granted permissions are removed, and only \u003ccode\u003eiam.serviceAccountUser\u003c/code\u003e and \u003ccode\u003eiam.serviceAccounts.actAs\u003c/code\u003e remain, along with two restricted Cloud KMS roles.\u003c/p\u003e\n"],["\u003cp\u003eCertain IAM permissions are also used for creating a firewall on the VPC project, but they are only needed during firewall creation.\u003c/p\u003e\n"],["\u003cp\u003eAll permissions granted during the deployment process are no longer required after the completion of installation, except those specified for daily operation.\u003c/p\u003e\n"]]],[],null,["# Backup and DR Service installation permissions and roles reference\n\nDuring the deployment process, a service account created on your behalf uses\nthese permissions for the duration of the deployment.\n\nThe service account uses these permissions to install the backup/recovery appliance\n-----------------------------------------------------------------------------------\n\nThe service account is highly privileged in the target, VPC project,\nand consumer projects during the installation. Most of these permissions are\nremoved as the installation progresses. The following table contains the roles\ngranted to the service account and the permissions needed within each role.\n\nAfter installation is finished, for daily operation on the workload project\n---------------------------------------------------------------------------\n\nAll of the permissions required for deployment and installation are removed\nexcept for `iam.serviceAccountUser` and `iam.serviceAccounts.actAs`. Two cloudkms\nroles needed for daily operation are added, restricted to a single key ring.\n\n`*` The `cloudkms` roles are on a single key ring. \n\n`**` The `cloudStorageOperator` role is on buckets with names that start with\nthe name of the backup/recovery appliance.\n\nPermissions used to create a firewall on the project\n----------------------------------------------------\n\nThese IAM permissions are used to create a firewall on the\nproject that owns the VPC only during firewall creation. \n\n compute.firewalls.create\n compute.firewalls.delete\n compute.firewalls.get\n compute.firewalls.list\n compute.firewalls.update\n compute.networks.list\n compute.networks.get\n compute.networks.updatePolicy\n\n**All other permissions are no longer needed after installation.**"]]
