デプロイ プロセス中、ユーザーに代わって作成されたサービス アカウントは、デプロイ中、これらの権限を使用します。
サービス アカウントは、これらの権限を使用してバックアップ/リカバリ アプライアンスをインストールします。
インストール中、サービス アカウントはターゲット プロジェクト、VPC プロジェクト、コンシューマ プロジェクトで高度な権限を持ちます。これらの権限のほとんどは、インストールの進行に伴って削除されます。次の表に、サービス アカウントに付与されるロールと、各ロールで必要な権限を示します。
| ロール | 必要な権限 | 共有 VPC の場合は、次に割り当てます。 |
|---|---|---|
| resourcemanager.projectIamAdmin | resourcemanager.projects.getIamPolicy | VPC オーナー、バックアップ管理者、ワークロード プロジェクト |
| resourcemanager.projects.setIamPolicy | VPC オーナー、バックアップ管理者、ワークロード プロジェクト | |
| iam.serviceAccountUser | iam.serviceAccounts.actAs | ワークロード プロジェクト |
| iam.serviceAccountTokenCreator | iam.serviceAccounts.getOpenIdToken | ワークロード プロジェクト |
| cloudkms.admin | cloudkms.keyRings.create | VPC オーナー、バックアップ管理者、ワークロード プロジェクト |
| cloudkms.keyRings.getIamPolicy | VPC オーナー、バックアップ管理者、ワークロード プロジェクト | |
| cloudkms.keyRings.setIamPolicy | VPC オーナー、バックアップ管理者、ワークロード プロジェクト | |
| logging.logWriter | logging.logs.write | ワークロード プロジェクト |
| compute.admin | compute.instances.create | ワークロード プロジェクト |
| compute.instances.delete | ワークロード プロジェクト | |
| compute.disks.create | ワークロード プロジェクト | |
| compute.disks.delete | ワークロード プロジェクト | |
| compute.instances.setMetadata | ワークロード プロジェクト | |
| compute.subnetworks.get | VPC プロジェクト | |
| compute.subnetworks.use | VPC プロジェクト | |
| compute.subnetworks.setPrivateIpGoogleAccess | VPC プロジェクト | |
| compute.firewalls.create | VPC プロジェクト | |
| compute.firewalls.delete | VPC プロジェクト | |
| backupdr.admin | backupdr.managementservers.manageInternalACL | バックアップ管理者プロジェクト |
インストールが完了したら、ワークロード プロジェクトの日常オペレーションに使用します。
デプロイとインストールに必要な権限はすべて削除されます(iam.serviceAccountUser と iam.serviceAccounts.actAs を除く)。日常業務に必要な 2 つの cloudkms ロールが追加され、1 つのキーリングに制限されます。
| ロール | 必要な権限 |
|---|---|
| iam.serviceAccountUser | iam.serviceAccounts.actAs |
| cloudkms.cryptoKeyEncrypterDecrypter* | cloudkms.cryptoKeyVersions.useToDecrypt |
| cloudkms.cryptoKeyVersions.useToEncrypt | |
| cloudkms.admin* | cloudkms.keyRings.get |
| backupdr.computeEngineOperator* | ロールに記載されているすべての権限。 |
| backupdr.cloudStorageOperator** | ロールに記載されているすべての権限。 |
* cloudkms ロールは単一のキーリングにあります。
** cloudStorageOperator ロールは、バックアップ/リカバリ アプライアンスの名前で始まる名前のバケットにあります。
プロジェクトにファイアウォールを作成するために使用される権限
これらの IAM 権限は、ファイアウォールの作成時にのみ、VPC を所有するプロジェクトにファイアウォールを作成するために使用されます。
compute.firewalls.create
compute.firewalls.delete
compute.firewalls.get
compute.firewalls.list
compute.firewalls.update
compute.networks.list
compute.networks.get
compute.networks.updatePolicy
インストール後に他の権限は不要になります。