Riferimento a ruoli e autorizzazioni di installazione del servizio di backup e DR
Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Durante la procedura di deployment, un account di servizio creato per tuo conto utilizza queste autorizzazioni per tutta la durata del deployment.
L'account di servizio utilizza queste autorizzazioni per installare l'appliance di backup/recupero
L'account di servizio è ad accesso elevato nel progetto di destinazione, nel progetto VPC e nei progetti consumer durante l'installazione. La maggior parte di queste autorizzazioni viene rimossa man mano che l'installazione procede. La tabella seguente contiene i ruoli assegnati all'account di servizio e le autorizzazioni necessarie in ciascun ruolo.
Ruolo
Autorizzazioni richieste
Se è un VPC condiviso, assegnalo a:
resourcemanager.projectIamAdmin
resourcemanager.projects.getIamPolicy
Proprietario VPC, amministratore di backup e progetti di workload
resourcemanager.projects.setIamPolicy
Proprietario VPC, amministratore di backup e progetti di workload
iam.serviceAccountUser
iam.serviceAccounts.actAs
Progetto di workload
iam.serviceAccountTokenCreator
iam.serviceAccounts.getOpenIdToken
Progetto di workload
cloudkms.admin
cloudkms.keyRings.create
Proprietario VPC, amministratore di backup e progetti di workload
cloudkms.keyRings.getIamPolicy
Proprietario VPC, amministratore di backup e progetti di workload
cloudkms.keyRings.setIamPolicy
Proprietario VPC, amministratore di backup e progetti di workload
logging.logWriter
logging.logs.write
Progetto di workload
compute.admin
compute.instances.create
Progetto di workload
compute.instances.delete
Progetto di workload
compute.disks.create
Progetto di workload
compute.disks.delete
Progetto di workload
compute.instances.setMetadata
Progetto di workload
compute.subnetworks.get
Progetto VPC
compute.subnetworks.use
Progetto VPC
compute.subnetworks.setPrivateIpGoogleAccess
Progetto VPC
compute.firewalls.create
Progetto VPC
compute.firewalls.delete
Progetto VPC
backupdr.admin
backupdr.managementservers.manageInternalACL
Progetto Backup Admin
Al termine dell'installazione, per il funzionamento quotidiano del progetto del carico di lavoro
Tutte le autorizzazioni richieste per il deployment e l'installazione vengono rimosse
tranne iam.serviceAccountUser e iam.serviceAccounts.actAs. Vengono aggiunti due ruoli cloudkms necessari per il funzionamento quotidiano, limitati a un unico mazzo di chiavi.
Ruolo
Autorizzazioni richieste
iam.serviceAccountUser
iam.serviceAccounts.actAs
cloudkms.cryptoKeyEncrypterDecrypter*
cloudkms.cryptoKeyVersions.useToDecrypt
cloudkms.cryptoKeyVersions.useToEncrypt
cloudkms.admin*
cloudkms.keyRings.get
backupdr.computeEngineOperator*
Tutte le autorizzazioni elencate nel ruolo.
backupdr.cloudStorageOperator**
Tutte le autorizzazioni elencate nel ruolo.
* I ruoli cloudkms si trovano in un'unica chiave automatizzata. ** Il ruolo cloudStorageOperator è presente nei bucket con nomi che iniziano con il nome dell'appliance di backup/ripristino.
Autorizzazioni utilizzate per creare un firewall nel progetto
Queste autorizzazioni IAM vengono utilizzate per creare un firewall nel progetto proprietario del VPC solo durante la creazione del firewall.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[[["\u003cp\u003eA highly privileged service account is temporarily used during the backup/recovery appliance deployment process, which is utilized to perform the installation.\u003c/p\u003e\n"],["\u003cp\u003eThe service account is granted specific roles and permissions in the target, VPC, and consumer projects, as detailed in the provided table, including project IAM admin, service account user, and Cloud KMS administration roles, among others.\u003c/p\u003e\n"],["\u003cp\u003eAfter the installation is complete, most of the granted permissions are removed, and only \u003ccode\u003eiam.serviceAccountUser\u003c/code\u003e and \u003ccode\u003eiam.serviceAccounts.actAs\u003c/code\u003e remain, along with two restricted Cloud KMS roles.\u003c/p\u003e\n"],["\u003cp\u003eCertain IAM permissions are also used for creating a firewall on the VPC project, but they are only needed during firewall creation.\u003c/p\u003e\n"],["\u003cp\u003eAll permissions granted during the deployment process are no longer required after the completion of installation, except those specified for daily operation.\u003c/p\u003e\n"]]],[],null,["# Backup and DR Service installation permissions and roles reference\n\nDuring the deployment process, a service account created on your behalf uses\nthese permissions for the duration of the deployment.\n\nThe service account uses these permissions to install the backup/recovery appliance\n-----------------------------------------------------------------------------------\n\nThe service account is highly privileged in the target, VPC project,\nand consumer projects during the installation. Most of these permissions are\nremoved as the installation progresses. The following table contains the roles\ngranted to the service account and the permissions needed within each role.\n\nAfter installation is finished, for daily operation on the workload project\n---------------------------------------------------------------------------\n\nAll of the permissions required for deployment and installation are removed\nexcept for `iam.serviceAccountUser` and `iam.serviceAccounts.actAs`. Two cloudkms\nroles needed for daily operation are added, restricted to a single key ring.\n\n`*` The `cloudkms` roles are on a single key ring. \n\n`**` The `cloudStorageOperator` role is on buckets with names that start with\nthe name of the backup/recovery appliance.\n\nPermissions used to create a firewall on the project\n----------------------------------------------------\n\nThese IAM permissions are used to create a firewall on the\nproject that owns the VPC only during firewall creation. \n\n compute.firewalls.create\n compute.firewalls.delete\n compute.firewalls.get\n compute.firewalls.list\n compute.firewalls.update\n compute.networks.list\n compute.networks.get\n compute.networks.updatePolicy\n\n**All other permissions are no longer needed after installation.**"]]