Référence des autorisations et des rôles d'installation du service Backup and DR
Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Lors du processus de déploiement, un compte de service créé en votre nom utilise ces autorisations pendant toute la durée du déploiement.
Le compte de service utilise ces autorisations pour installer l'appliance de sauvegarde/restauration.
Le compte de service dispose de privilèges élevés dans le projet cible, le projet VPC et les projets clients lors de l'installation. La plupart de ces autorisations sont supprimées au fur et à mesure de l'installation. Le tableau suivant contient les rôles accordés au compte de service et les autorisations requises pour chaque rôle.
Rôle
Autorisations nécessaires
Si vous utilisez un VPC partagé, attribuez-le à:
resourcemanager.projectIamAdmin
resourcemanager.projects.getIamPolicy
Propriétaire du VPC, administrateur des sauvegardes et projets de charge de travail
resourcemanager.projects.setiamPolicy
Propriétaire du VPC, administrateur des sauvegardes et projets de charge de travail
iam.serviceAccountUser
iam.serviceAccounts.actAs
Projet de charge de travail
iam.serviceAccountTokenCreator
iam.serviceAccounts.getOpenIdToken
Projet de charge de travail
cloudkms.admin
cloudkms.keyRings.create
Propriétaire du VPC, administrateur des sauvegardes et projets de charge de travail
cloudkms.keyRings.getIamPolicy
Propriétaire du VPC, administrateur des sauvegardes et projets de charge de travail
cloudkms.keyRings.setIamPolicy
Propriétaire du VPC, administrateur des sauvegardes et projets de charge de travail
logging.logWriter
logging.logs.write
Projet de charge de travail
compute.admin
compute.instances.create
Projet de charge de travail
compute.instances.delete
Projet de charge de travail
compute.disks.create
Projet de charge de travail
compute.disks.delete
Projet de charge de travail
compute.instances.setMetadata
Projet de charge de travail
compute.subnetworks.get
Projet VPC
compute.subnetworks.use
Projet VPC
compute.subnetworks.setPrivateIpGoogleAccess
Projet VPC
compute.firewalls.create
Projet VPC
compute.firewalls.delete
Projet VPC
backupdr.admin
backupdr.managementservers.manageInternalACL
Projet Backup Admin
Une fois l'installation terminée, pour les opérations quotidiennes sur le projet de charge de travail
Toutes les autorisations requises pour le déploiement et l'installation sont supprimées, à l'exception de iam.serviceAccountUser et iam.serviceAccounts.actAs. Deux rôles cloudkms nécessaires au fonctionnement quotidien sont ajoutés, limités à un seul trousseau.
Rôle
Autorisations nécessaires
iam.serviceAccountUser
iam.serviceAccounts.actAs
cloudkms.cryptoKeyEncrypterDecrypter*
cloudkms.cryptoKeyVersions.useToDecrypt
cloudkms.cryptoKeyVersions.useToEncrypt
cloudkms.admin*
cloudkms.keyRings.get
backupdr.computeEngineOperator*
Toutes les autorisations listées dans le rôle.
backupdr.cloudStorageOperator**
Toutes les autorisations listées dans le rôle.
* Les rôles cloudkms se trouvent dans un seul trousseau de clés. ** Le rôle cloudStorageOperator s'applique aux buckets dont le nom commence par le nom de l'appareil de sauvegarde/récupération.
Autorisations utilisées pour créer un pare-feu sur le projet
Ces autorisations IAM ne servent qu'à créer un pare-feu sur le projet propriétaire du VPC au moment de la création du pare-feu.
Toutes les autres autorisations ne sont plus nécessaires après l'installation.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/04 (UTC)."],[[["\u003cp\u003eA highly privileged service account is temporarily used during the backup/recovery appliance deployment process, which is utilized to perform the installation.\u003c/p\u003e\n"],["\u003cp\u003eThe service account is granted specific roles and permissions in the target, VPC, and consumer projects, as detailed in the provided table, including project IAM admin, service account user, and Cloud KMS administration roles, among others.\u003c/p\u003e\n"],["\u003cp\u003eAfter the installation is complete, most of the granted permissions are removed, and only \u003ccode\u003eiam.serviceAccountUser\u003c/code\u003e and \u003ccode\u003eiam.serviceAccounts.actAs\u003c/code\u003e remain, along with two restricted Cloud KMS roles.\u003c/p\u003e\n"],["\u003cp\u003eCertain IAM permissions are also used for creating a firewall on the VPC project, but they are only needed during firewall creation.\u003c/p\u003e\n"],["\u003cp\u003eAll permissions granted during the deployment process are no longer required after the completion of installation, except those specified for daily operation.\u003c/p\u003e\n"]]],[],null,["# Backup and DR Service installation permissions and roles reference\n\nDuring the deployment process, a service account created on your behalf uses\nthese permissions for the duration of the deployment.\n\nThe service account uses these permissions to install the backup/recovery appliance\n-----------------------------------------------------------------------------------\n\nThe service account is highly privileged in the target, VPC project,\nand consumer projects during the installation. Most of these permissions are\nremoved as the installation progresses. The following table contains the roles\ngranted to the service account and the permissions needed within each role.\n\nAfter installation is finished, for daily operation on the workload project\n---------------------------------------------------------------------------\n\nAll of the permissions required for deployment and installation are removed\nexcept for `iam.serviceAccountUser` and `iam.serviceAccounts.actAs`. Two cloudkms\nroles needed for daily operation are added, restricted to a single key ring.\n\n`*` The `cloudkms` roles are on a single key ring. \n\n`**` The `cloudStorageOperator` role is on buckets with names that start with\nthe name of the backup/recovery appliance.\n\nPermissions used to create a firewall on the project\n----------------------------------------------------\n\nThese IAM permissions are used to create a firewall on the\nproject that owns the VPC only during firewall creation. \n\n compute.firewalls.create\n compute.firewalls.delete\n compute.firewalls.get\n compute.firewalls.list\n compute.firewalls.update\n compute.networks.list\n compute.networks.get\n compute.networks.updatePolicy\n\n**All other permissions are no longer needed after installation.**"]]