배포 프로세스 중에 나를 대신하여 생성된 서비스 계정은 배포 기간 동안 이러한 권한을 사용합니다.
서비스 계정은 이러한 권한을 사용하여 백업/복구 어플라이언스를 설치합니다.
서비스 계정은 설치 중에 타겟, VPC 프로젝트, 소비자 프로젝트에서 높은 권한을 갖습니다. 이러한 권한의 대부분은 설치가 진행되면 삭제됩니다. 다음 표에는 서비스 계정에 부여된 역할과 각 역할에 필요한 권한이 나와 있습니다.
| 역할 | 권한 필요 | 공유 VPC인 경우 다음에 할당합니다. |
|---|---|---|
| resourcemanager.projectIamAdmin | resourcemanager.projects.getIamPolicy | VPC 소유자, 백업 관리자, 워크로드 프로젝트 |
| resourcemanager.projects.setIamPolicy | VPC 소유자, 백업 관리자, 워크로드 프로젝트 | |
| iam.serviceAccountUser | iam.serviceAccounts.actAs | 워크로드 프로젝트 |
| iam.serviceAccountTokenCreator | iam.serviceAccounts.getOpenIdToken | 워크로드 프로젝트 |
| cloudkms.admin | cloudkms.keyRings.create | VPC 소유자, 백업 관리자, 워크로드 프로젝트 |
| cloudkms.keyRings.getIamPolicy | VPC 소유자, 백업 관리자, 워크로드 프로젝트 | |
| cloudkms.keyRings.setIamPolicy | VPC 소유자, 백업 관리자, 워크로드 프로젝트 | |
| logging.logWriter | logging.logs.write | 워크로드 프로젝트 |
| compute.admin | compute.instances.create | 워크로드 프로젝트 |
| compute.instances.delete | 워크로드 프로젝트 | |
| compute.disks.create | 워크로드 프로젝트 | |
| compute.disks.delete | 워크로드 프로젝트 | |
| compute.instances.setMetadata | 워크로드 프로젝트 | |
| compute.subnetworks.get | VPC 프로젝트 | |
| compute.subnetworks.use | VPC 프로젝트 | |
| compute.subnetworks.setPrivateIpGoogleAccess | VPC 프로젝트 | |
| compute.firewalls.create | VPC 프로젝트 | |
| compute.firewalls.delete | VPC 프로젝트 | |
| backupdr.admin | backupdr.managementservers.manageInternalACL | 백업 관리 프로젝트 |
설치가 완료된 후 워크로드 프로젝트의 일일 작업
iam.serviceAccountUser 및 iam.serviceAccounts.actAs를 제외하고 배포 및 설치에 필요한 모든 권한이 삭제됩니다. 일상적인 운영에 필요한 두 가지 cloudkms 역할이 추가되었으며, 단일 키링으로 제한됩니다.
| 역할 | 권한 필요 |
|---|---|
| iam.serviceAccountUser | iam.serviceAccounts.actAs |
| cloudkms.cryptoKeyEncrypterDecrypter* | cloudkms.cryptoKeyVersions.useToDecrypt |
| cloudkms.cryptoKeyVersions.useToEncrypt | |
| cloudkms.admin* | cloudkms.keyRings.get |
| backupdr.computeEngineOperator* | 역할에 나열된 모든 권한 |
| backupdr.cloudStorageOperator** | 역할에 나열된 모든 권한 |
* cloudkms 역할이 단일 키링에 있습니다.
** cloudStorageOperator 역할은 백업/복구 어플라이언스의 이름으로 시작하는 이름의 버킷에 있습니다.
프로젝트에서 방화벽을 만드는 데 사용되는 권한
이러한 IAM 권한은 방화벽 생성 중에만 VPC를 소유한 프로젝트에서 방화벽을 만드는 데 사용됩니다.
compute.firewalls.create
compute.firewalls.delete
compute.firewalls.get
compute.firewalls.list
compute.firewalls.update
compute.networks.list
compute.networks.get
compute.networks.updatePolicy
설치 후에는 다른 모든 권한이 더 이상 필요하지 않습니다.