Roles y permisos de gestión de identidades y accesos para crear copias de seguridad, montar y restaurar instancias de Compute Engine

En esta página se enumeran los roles y permisos de IAM necesarios para crear copias de seguridad, montar y restaurar una instancia de Compute Engine.

Funciones y permisos de IAM

Para crear copias de seguridad, montar y restaurar una instancia, debes asignar el rol Backup and DR Compute Engine Operator a la cuenta de servicio del dispositivo de copia de seguridad o recuperación, o bien crear un rol personalizado y asignarle todos los permisos que se indican en esta página.

A continuación, se enumeran los permisos de IAM de Compute Engine predefinidos que se necesitan para crear copias de seguridad, montar y restaurar instancias de Compute Engine.

  • Crear una copia de seguridad de una instancia de Compute Engine

    • compute.disks.createSnapshot
    • compute.disks.get
    • compute.instances.list
    • compute.instances.setLabels
    • compute.regions.get
    • compute.regionOperations.get
    • compute.snapshots.create
    • compute.snapshots.delete
    • compute.snapshots.get
    • compute.snapshots.setLabels
    • compute.snapshots.useReadOnly
    • compute.zones.list
    • compute.zoneOperations.get
    • iam.serviceAccounts.actAs
    • iam.serviceAccounts.get
    • iam.serviceAccounts.list
    • resourcemanager.projects.get
    • resourcemanager.projects.list

  • Montar en una instancia de Compute Engine

    • compute.disks.create
    • compute.disks.delete
    • compute.disks.get
    • compute.disks.use
    • compute.diskTypes.get
    • compute.diskTypes.list
    • compute.images.create
    • compute.images.delete
    • compute.images.get
    • compute.images.useReadOnly
    • compute.instances.attachDisk
    • compute.instances.create
    • compute.instances.delete
    • compute.instances.detachDisk
    • compute.instances.get
    • compute.instances.list
    • compute.instances.setMetadata
    • compute.regions.get
    • compute.regions.list
    • compute.regionOperations.get
    • compute.zones.list
    • iam.serviceAccounts.actAs
    • iam.serviceAccounts.get
    • iam.serviceAccounts.list
    • resourcemanager.projects.get

  • Montar en una nueva instancia de Compute Engine y restaurar la instancia

    • compute.addresses.list
    • compute.diskTypes.get
    • compute.diskTypes.list
    • compute.disks.create
    • compute.disks.createSnapshot
    • compute.disks.delete
    • compute.disks.get
    • compute.disks.setLabels
    • compute.disks.use
    • compute.firewalls.list
    • compute.globalOperations.get
    • compute.images.create
    • compute.images.delete
    • compute.images.get
    • compute.images.useReadOnly
    • compute.instances.attachDisk
    • compute.instances.create
    • compute.instances.delete
    • compute.instances.detachDisk
    • compute.instances.get
    • compute.instances.list
    • compute.instances.setLabels
    • compute.instances.setMetadata
    • compute.instances.setServiceAccount
    • compute.instances.setTags
    • compute.instances.start
    • compute.instances.stop
    • compute.machineTypes.get
    • compute.machineTypes.list
    • compute.networks.list
    • compute.nodeGroups.list
    • compute.nodeGroups.get
    • compute.nodeTemplates.get
    • compute.projects.get
    • compute.regions.get
    • compute.regionOperations.get
    • compute.snapshots.create
    • compute.snapshots.get
    • compute.snapshots.setLabels
    • compute.snapshots.useReadOnly
    • compute.subnetworks.list
    • compute.subnetworks.use
    • compute.subnetworks.useExternalIp
    • compute.zoneOperations.get
    • compute.zones.list
    • iam.serviceAccounts.actAs
    • iam.serviceAccounts.get
    • iam.serviceAccounts.list
    • resourcemanager.projects.get

Permisos para montar una instancia de Compute Engine con claves de cifrado gestionadas por el cliente

Para montar una imagen de copia de seguridad de Compute Engine como una instancia de Compute Engine nueva o ya creada, donde el disco de origen utilice claves de cifrado gestionadas por el cliente (CMEK), debes copiar el nombre de la cuenta de servicio del agente de servicio de Compute Engine del proyecto de destino y añadirlo al proyecto de origen, así como asignar el rol CryptoKey Encrypter/Decrypter, tal como se detalla a continuación.

Sigue estas instrucciones para añadir permisos al usar claves de cifrado gestionadas por el cliente:

  1. En el menú desplegable Proyecto, selecciona el proyecto de destino.
  2. En el menú de navegación de la izquierda, ve a IAM y administración > IAM.
  3. Selecciona Incluir concesiones de roles proporcionadas por Google.
  4. Busca la cuenta de servicio Agente de servicio de Compute Engine y copia el ID del principal. Tiene el formato de una dirección de correo, como mi-cuenta-de-servicio@mi-proyecto.iam.gserviceaccount.com.
  5. Seleccione el proyecto de origen en el menú desplegable Proyecto donde se creó la clave.
  6. En el menú de navegación de la izquierda, ve a IAM y administración > IAM.
  7. Selecciona Conceder acceso.
  8. En Añadir principales, pega el ID del agente de servicio de Compute Engine del proyecto de destino.
  9. En Asignar roles, asigna el rol Cloud KMS CryptoKey Encrypter/Decrypter.
  10. Selecciona Guardar.

Guía de Compute Engine de Backup y DR