IAM-Rollen und -Berechtigungen zum Sichern, Bereitstellen und Wiederherstellen von Compute Engine-Instanzen

Auf dieser Seite sind die IAM-Rollen und -Berechtigungen aufgeführt, die zum Sichern, Bereitstellen und Wiederherstellen einer Compute Engine-Instanz erforderlich sind.

IAM-Rollen und -Berechtigungen

Wenn Sie eine Instanz sichern, bereitstellen und wiederherstellen möchten, müssen Sie dem Dienstkonto der Sicherungs-/Wiederherstellungs-Appliance die Rolle Backup and DR Compute Engine Operator zuweisen oder eine benutzerdefinierte Rolle erstellen und alle auf dieser Seite aufgeführten Berechtigungen zuweisen.

Im Folgenden sind die vordefinierten Compute Engine-IAM-Berechtigungen aufgeführt, die zum Sichern, Bereitstellen und Wiederherstellen von Compute Engine-Instanzen erforderlich sind.

• Compute Engine-Instanz sichern

  • compute.disks.createSnapshot
  • compute.disks.get
  • compute.instances.list
  • compute.instances.setLabels
  • compute.regions.get
  • compute.regionOperations.get
  • compute.snapshots.create
  • compute.snapshots.delete
  • compute.snapshots.get
  • compute.snapshots.setLabels
  • compute.snapshots.useReadOnly
  • compute.zones.list
  • compute.zoneOperations.get
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

• An vorhandene Compute Engine-Instanz anhängen

  • compute.disks.create
  • compute.disks.delete
  • compute.disks.get
  • compute.disks.use
  • compute.diskTypes.get
  • compute.diskTypes.list
  • compute.images.create
  • compute.images.delete
  • compute.images.get
  • compute.images.useReadOnly
  • compute.instances.attachDisk
  • compute.instances.create
  • compute.instances.delete
  • compute.instances.detachDisk
  • compute.instances.get
  • compute.instances.list
  • compute.instances.setMetadata
  • compute.regions.get
  • compute.regions.list
  • compute.regionOperations.get
  • compute.zones.list
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get

• Datenträger an neue Compute Engine-Instanz anhängen und Instanz wiederherstellen

  • compute.addresses.list
  • compute.diskTypes.get
  • compute.diskTypes.list
  • compute.disks.create
  • compute.disks.createSnapshot
  • compute.disks.delete
  • compute.disks.get
  • compute.disks.setLabels
  • compute.disks.use
  • compute.firewalls.list
  • compute.globalOperations.get
  • compute.images.create
  • compute.images.delete
  • compute.images.get
  • compute.images.useReadOnly
  • compute.instances.attachDisk
  • compute.instances.create
  • compute.instances.delete
  • compute.instances.detachDisk
  • compute.instances.get
  • compute.instances.list
  • compute.instances.setLabels
  • compute.instances.setMetadata
  • compute.instances.setServiceAccount
  • compute.instances.setTags
  • compute.instances.start
  • compute.instances.stop
  • compute.machineTypes.get
  • compute.machineTypes.list
  • compute.networks.list
  • compute.nodeGroups.list
  • compute.nodeGroups.get
  • compute.nodeTemplates.get
  • compute.projects.get
  • compute.regions.get
  • compute.regionOperations.get
  • compute.snapshots.create
  • compute.snapshots.get
  • compute.snapshots.setLabels
  • compute.snapshots.useReadOnly
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.zoneOperations.get
  • compute.zones.list
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get

Berechtigungen zum Bereitstellen einer Compute Engine-Instanz mit vom Kunden verwalteten Verschlüsselungsschlüsseln

Wenn Sie ein Compute Engine-Sicherungs-Image als vorhandene oder neue Compute Engine-Instanz bereitstellen möchten, bei der der Quelldatenträger CMEK-Schlüssel (Customer Managed Encryption Keys) verwendet, müssen Sie den Namen des Dienstkontos des Compute Engine-Dienst-Agents aus dem Zielprojekt kopieren, in das Quellprojekt einfügen und ihm die Rolle CryptoKey Encrypter/Decrypter zuweisen. Gehen Sie dazu so vor:

So fügen Sie bei Verwendung von CMEK Berechtigungen hinzu:

1. Wählen Sie im Drop-down-Menü Projekt das Zielprojekt aus.
2. Klicken Sie im Navigationsmenü links auf IAM und Verwaltung > IAM.
3. Wählen Sie Von Google bereitgestellte Rollenzuweisungen einschließen aus.
4. Suchen Sie das Dienstkonto Compute Engine-Dienst-Agent und kopieren Sie die ID des Hauptkontos. Diese muss im Format einer E-Mail-Adresse sein, z. B. mein-dienstkonto@mein-projekt.iam.gserviceaccount.com.
5. Wählen Sie im Drop-down-Menü Projekt das Quellprojekt aus, in dem der Schlüssel erstellt wurde.
6. Klicken Sie im linken Navigationsmenü auf IAM & Verwaltung > IAM.
7. Wählen Sie Zugriff gewähren aus.
8. Fügen Sie unter Hauptkonten hinzufügen die ID des Compute Engine-Dienst-Agents aus dem Zielprojekt ein.
9. Weisen Sie unter Rollen zuweisen die Rolle Cloud KMS CryptoKey Encrypter/Decrypter zu.
10. Klicken Sie auf Speichern.

Leitfaden zur Compute Engine für Sicherungen und Notfallwiederherstellungen

• Cloud-Anmeldedaten prüfen
• Compute Engine-Instanzen finden und schützen
• Sicherungs-Images von Compute Engine-Instanzen bereitstellen
• Compute Engine-Instanz wiederherstellen
• Snapshot-Images von nichtflüchtigem Speicher importieren