Referenz zu Berechtigungen und Rollen für die Installation des Backup and DR Service
Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Während der Bereitstellung werden diese Berechtigungen für die Dauer der Bereitstellung von einem in Ihrem Namen erstellten Dienstkonto verwendet.
Das Dienstkonto verwendet diese Berechtigungen, um die Sicherungs-/Wiederherstellungs-Appliance zu installieren.
Das Dienstkonto hat während der Installation im Ziel-, VPC- und Nutzerprojekt starke Berechtigungen. Die meisten dieser Berechtigungen werden im Laufe der Installation entfernt. Die folgende Tabelle enthält die dem Dienstkonto zugewiesenen Rollen und die für die einzelnen Rollen erforderlichen Berechtigungen.
Rolle
Berechtigungen erforderlich
Bei einer freigegebenen VPC zuweisen Sie die Rolle Folgendem zu:
resourcemanager.projectIamAdmin
resourcemanager.projects.getIamPolicy
VPC-Inhaber, Sicherungsadministrator und Arbeitslastprojekte
resourcemanager.projects.setIamPolicy
VPC-Inhaber, Sicherungsadministrator und Arbeitslastprojekte
iam.serviceAccountUser
iam.serviceAccounts.actAs
Arbeitslastprojekt
iam.serviceAccountTokenCreator
iam.serviceAccounts.getOpenIdToken
Arbeitslastprojekt
cloudkms.admin
cloudkms.keyRings.create
VPC-Inhaber, Sicherungsadministrator und Arbeitslastprojekte
cloudkms.keyRings.getIamPolicy
VPC-Inhaber, Sicherungsadministrator und Arbeitslastprojekte
cloudkms.keyRings.setIamPolicy
VPC-Inhaber, Sicherungsadministrator und Arbeitslastprojekte
logging.logWriter
logging.logs.write
Arbeitslastprojekt
compute.admin
compute.instances.create
Arbeitslastprojekt
compute.instances.delete
Arbeitslastprojekt
compute.disks.create
Arbeitslastprojekt
compute.disks.delete
Arbeitslastprojekt
compute.instances.setMetadata
Arbeitslastprojekt
compute.subnetworks.get
VPC-Projekt
compute.subnetworks.use
VPC-Projekt
compute.subnetworks.setPrivateIpGoogleAccess
VPC-Projekt
compute.firewalls.create
VPC-Projekt
compute.firewalls.delete
VPC-Projekt
backupdr.admin
backupdr.managementservers.manageInternalACL
Sicherungsadministratorprojekt
Nach Abschluss der Installation für den täglichen Betrieb des Arbeitslastprojekts
Alle für die Bereitstellung und Installation erforderlichen Berechtigungen werden entfernt, mit Ausnahme von iam.serviceAccountUser und iam.serviceAccounts.actAs. Es werden zwei für den täglichen Betrieb erforderliche cloudkms-Rollen hinzugefügt, die auf einen einzelnen Schlüsselanhänger beschränkt sind.
Rolle
Berechtigungen erforderlich
iam.serviceAccountUser
iam.serviceAccounts.actAs
cloudkms.cryptoKeyEncrypterDecrypter*
cloudkms.cryptoKeyVersions.useToDecrypt
cloudkms.cryptoKeyVersions.useToEncrypt
cloudkms.admin*
cloudkms.keyRings.get
backupdr.computeEngineOperator*
Alle in der Rolle aufgeführten Berechtigungen.
backupdr.cloudStorageOperator**
Alle in der Rolle aufgeführten Berechtigungen.
* Die cloudkms-Rollen befinden sich auf einem einzigen Schlüsselbund. ** Die Rolle cloudStorageOperator gilt für Bucket mit Namen, die mit dem Namen der Sicherungs-/Wiederherstellungs-Appliance beginnen.
Berechtigungen zum Erstellen einer Firewall im Projekt
Diese IAM-Berechtigungen werden nur zum Erstellen einer Firewall im Projekt verwendet, zu dem die VPC gehört.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-08-11 (UTC)."],[[["\u003cp\u003eA highly privileged service account is temporarily used during the backup/recovery appliance deployment process, which is utilized to perform the installation.\u003c/p\u003e\n"],["\u003cp\u003eThe service account is granted specific roles and permissions in the target, VPC, and consumer projects, as detailed in the provided table, including project IAM admin, service account user, and Cloud KMS administration roles, among others.\u003c/p\u003e\n"],["\u003cp\u003eAfter the installation is complete, most of the granted permissions are removed, and only \u003ccode\u003eiam.serviceAccountUser\u003c/code\u003e and \u003ccode\u003eiam.serviceAccounts.actAs\u003c/code\u003e remain, along with two restricted Cloud KMS roles.\u003c/p\u003e\n"],["\u003cp\u003eCertain IAM permissions are also used for creating a firewall on the VPC project, but they are only needed during firewall creation.\u003c/p\u003e\n"],["\u003cp\u003eAll permissions granted during the deployment process are no longer required after the completion of installation, except those specified for daily operation.\u003c/p\u003e\n"]]],[],null,["# Backup and DR Service installation permissions and roles reference\n\nDuring the deployment process, a service account created on your behalf uses\nthese permissions for the duration of the deployment.\n\nThe service account uses these permissions to install the backup/recovery appliance\n-----------------------------------------------------------------------------------\n\nThe service account is highly privileged in the target, VPC project,\nand consumer projects during the installation. Most of these permissions are\nremoved as the installation progresses. The following table contains the roles\ngranted to the service account and the permissions needed within each role.\n\nAfter installation is finished, for daily operation on the workload project\n---------------------------------------------------------------------------\n\nAll of the permissions required for deployment and installation are removed\nexcept for `iam.serviceAccountUser` and `iam.serviceAccounts.actAs`. Two cloudkms\nroles needed for daily operation are added, restricted to a single key ring.\n\n`*` The `cloudkms` roles are on a single key ring. \n\n`**` The `cloudStorageOperator` role is on buckets with names that start with\nthe name of the backup/recovery appliance.\n\nPermissions used to create a firewall on the project\n----------------------------------------------------\n\nThese IAM permissions are used to create a firewall on the\nproject that owns the VPC only during firewall creation. \n\n compute.firewalls.create\n compute.firewalls.delete\n compute.firewalls.get\n compute.firewalls.list\n compute.firewalls.update\n compute.networks.list\n compute.networks.get\n compute.networks.updatePolicy\n\n**All other permissions are no longer needed after installation.**"]]
