Durante o processo de implantação, uma conta de serviço criada em seu nome usa essas permissões durante a implantação.
A conta de serviço usa essas permissões para instalar o dispositivo de backup/recuperação
A conta de serviço tem privilégios elevados no projeto de destino, na VPC e nos projetos de consumidor durante a instalação. A maioria dessas permissões é removida à medida que a instalação avança. A tabela a seguir contém as funções concedidas à conta de serviço e as permissões necessárias em cada função.
| Papel | Permissões necessárias | Se for VPC compartilhada, atribua a: |
|---|---|---|
| resourcemanager.projectIamAdmin | resourcemanager.projects.getIamPolicy | Proprietário da VPC, administrador de backup e projetos de carga de trabalho |
| resourcemanager.projects.setIamPolicy | Proprietário da VPC, administrador de backup e projetos de carga de trabalho | |
| iam.serviceAccountUser | iam.serviceAccounts.actAs | Projeto de carga de trabalho |
| iam.serviceAccountTokenCreator | iam.serviceAccounts.getOpenIdToken | Projeto de carga de trabalho |
| cloudkms.admin | cloudkms.keyRings.create | Proprietário da VPC, administrador de backup e projetos de carga de trabalho |
| cloudkms.keyRings.getIamPolicy | Proprietário da VPC, administrador de backup e projetos de carga de trabalho | |
| cloudkms.keyRings.setIamPolicy | Proprietário da VPC, administrador de backup e projetos de carga de trabalho | |
| logging.logWriter | logging.logs.write | Projeto de carga de trabalho |
| compute.admin | compute.instances.create | Projeto de carga de trabalho |
| compute.instances.delete | Projeto de carga de trabalho | |
| compute.disks.create | Projeto de carga de trabalho | |
| compute.disks.delete | Projeto de carga de trabalho | |
| compute.instances.setMetadata | Projeto de carga de trabalho | |
| compute.subnetworks.get | Projeto da VPC | |
| compute.subnetworks.use | Projeto da VPC | |
| compute.subnetworks.setPrivateIpGoogleAccess | Projeto da VPC | |
| compute.firewalls.create | Projeto da VPC | |
| compute.firewalls.delete | Projeto da VPC | |
| backupdr.admin | backupdr.managementservers.manageInternalACL | Projeto de administração de backup |
Após a conclusão da instalação, para a operação diária no projeto de carga de trabalho
Todas as permissões necessárias para implantação e instalação são removidas,
exceto iam.serviceAccountUser e iam.serviceAccounts.actAs. Duas funções do Cloudkms
necessárias para a operação diária são adicionadas e restritas a um único keyring.
| Papel | Permissões necessárias |
|---|---|
| iam.serviceAccountUser | iam.serviceAccounts.actAs |
| cloudkms.cryptoKeyEncrypterDecrypter* | cloudkms.cryptoKeyVersions.useToDecrypt |
| cloudkms.cryptoKeyVersions.useToEncrypt | |
| cloudkms.admin* | cloudkms.keyRings.get |
| backupdr.computeEngineOperator* | Todas as permissões listadas no papel. |
| backupdr.cloudStorageOperator** | Todas as permissões listadas no papel. |
* Os papéis cloudkms estão em um único keyring.
** O papel cloudStorageOperator está em buckets com nomes que começam com
o nome do appliance de backup/recuperação.
Permissões usadas para criar um firewall no projeto
Essas permissões do IAM são usadas para criar um firewall no projeto proprietário da VPC apenas durante a criação do firewall.
compute.firewalls.create
compute.firewalls.delete
compute.firewalls.get
compute.firewalls.list
compute.firewalls.update
compute.networks.list
compute.networks.get
compute.networks.updatePolicy
Todas as outras permissões não são mais necessárias após a instalação.