備份、掛載及還原 Compute Engine 執行個體的 IAM 角色和權限

本頁面列出備份、掛載及還原 Compute Engine 執行個體時所需的 IAM 角色和權限。

IAM 角色和權限

如要備份、掛載及還原執行個體,您必須將 Backup and DR Compute Engine Operator 角色指派給備份/復原設備的服務帳戶,或是建立自訂角色並指派此頁面所列的所有權限。

以下列出備份、掛載及還原 Compute Engine 執行個體時所需的預先定義 Compute Engine IAM 權限。

  • 備份 Compute Engine 執行個體

    • compute.disks.createSnapshot
    • compute.disks.get
    • compute.instances.list
    • compute.instances.setLabels
    • compute.regions.get
    • compute.regionOperations.get
    • compute.snapshots.create
    • compute.snapshots.delete
    • compute.snapshots.get
    • compute.snapshots.setLabels
    • compute.snapshots.useReadOnly
    • compute.zones.list
    • compute.zoneOperations.get
    • iam.serviceAccounts.actAs
    • iam.serviceAccounts.get
    • iam.serviceAccounts.list
    • resourcemanager.projects.get
    • resourcemanager.projects.list

  • 掛載至現有的 Compute Engine 執行個體

    • compute.disks.create
    • compute.disks.delete
    • compute.disks.get
    • compute.disks.use
    • compute.diskTypes.get
    • compute.diskTypes.list
    • compute.images.create
    • compute.images.delete
    • compute.images.get
    • compute.images.useReadOnly
    • compute.instances.attachDisk
    • compute.instances.create
    • compute.instances.delete
    • compute.instances.detachDisk
    • compute.instances.get
    • compute.instances.list
    • compute.instances.setMetadata
    • compute.regions.get
    • compute.regions.list
    • compute.regionOperations.get
    • compute.zones.list
    • iam.serviceAccounts.actAs
    • iam.serviceAccounts.get
    • iam.serviceAccounts.list
    • resourcemanager.projects.get

  • 掛接至新的 Compute Engine 執行個體並還原執行個體

    • compute.addresses.list
    • compute.diskTypes.get
    • compute.diskTypes.list
    • compute.disks.create
    • compute.disks.createSnapshot
    • compute.disks.delete
    • compute.disks.get
    • compute.disks.setLabels
    • compute.disks.use
    • compute.firewalls.list
    • compute.globalOperations.get
    • compute.images.create
    • compute.images.delete
    • compute.images.get
    • compute.images.useReadOnly
    • compute.instances.attachDisk
    • compute.instances.create
    • compute.instances.delete
    • compute.instances.detachDisk
    • compute.instances.get
    • compute.instances.list
    • compute.instances.setLabels
    • compute.instances.setMetadata
    • compute.instances.setServiceAccount
    • compute.instances.setTags
    • compute.instances.start
    • compute.instances.stop
    • compute.machineTypes.get
    • compute.machineTypes.list
    • compute.networks.list
    • compute.nodeGroups.list
    • compute.nodeGroups.get
    • compute.nodeTemplates.get
    • compute.projects.get
    • compute.regions.get
    • compute.regionOperations.get
    • compute.snapshots.create
    • compute.snapshots.get
    • compute.snapshots.setLabels
    • compute.snapshots.useReadOnly
    • compute.subnetworks.list
    • compute.subnetworks.use
    • compute.subnetworks.useExternalIp
    • compute.zoneOperations.get
    • compute.zones.list
    • iam.serviceAccounts.actAs
    • iam.serviceAccounts.get
    • iam.serviceAccounts.list
    • resourcemanager.projects.get

使用客戶管理的加密金鑰掛接 Compute Engine 執行個體的權限

如要將 Compute Engine 備份映像檔掛載為現有或新的 Compute Engine 執行個體,且來源磁碟使用客戶管理的加密金鑰 (CMEK),您必須從目標專案複製 Compute Engine 服務代理的服務帳戶名稱,並將其新增至來源專案,然後指派 CryptoKey Encrypter/Decrypter 角色,詳細資訊如下。

使用 CMEK 時,請按照下列操作說明新增權限:

  1. 從「Project」下拉式選單中選取目標專案。
  2. 從左側導覽選單依序前往「IAM 與管理」>「身分與存取權管理」
  3. 選取「包含 Google 提供的角色授予項目」
  4. 找出 Compute Engine 服務代理人服務帳戶,並複製 主體的 ID。這個值的格式為電子郵件地址,例如 my-service-account@my-project.iam.gserviceaccount.com。
  5. 從「Project」下拉式選單中選取建立金鑰的來源專案。
  6. 從左側導覽選單依序前往「IAM 與管理」「身分與存取權管理」
  7. 選取「授予存取權」
  8. 在「Add Principals」中,貼上目標專案的 Compute Engine 服務代理人 ID。
  9. 在「指派角色」中,指派 Cloud KMS CryptoKey Encrypter/Decrypter 角色。
  10. 選取「儲存」

備份和災難復原 Compute Engine 指南