Referência de permissões e papéis de instalação do serviço de backup e DR
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Durante o processo de implantação, uma conta de serviço criada em seu nome usa
essas permissões durante a implantação.
A conta de serviço usa essas permissões para instalar o dispositivo de backup/recuperação
A conta de serviço tem privilégios elevados no projeto de destino, na VPC e nos projetos de consumidor durante a instalação. A maioria dessas permissões é
removida à medida que a instalação avança. A tabela a seguir contém as funções
concedidas à conta de serviço e as permissões necessárias em cada função.
Papel
Permissões necessárias
Se for VPC compartilhada, atribua a:
resourcemanager.projectIamAdmin
resourcemanager.projects.getIamPolicy
Proprietário da VPC, administrador de backup e projetos de carga de trabalho
resourcemanager.projects.setIamPolicy
Proprietário da VPC, administrador de backup e projetos de carga de trabalho
iam.serviceAccountUser
iam.serviceAccounts.actAs
Projeto de carga de trabalho
iam.serviceAccountTokenCreator
iam.serviceAccounts.getOpenIdToken
Projeto de carga de trabalho
cloudkms.admin
cloudkms.keyRings.create
Proprietário da VPC, administrador de backup e projetos de carga de trabalho
cloudkms.keyRings.getIamPolicy
Proprietário da VPC, administrador de backup e projetos de carga de trabalho
cloudkms.keyRings.setIamPolicy
Proprietário da VPC, administrador de backup e projetos de carga de trabalho
logging.logWriter
logging.logs.write
Projeto de carga de trabalho
compute.admin
compute.instances.create
Projeto de carga de trabalho
compute.instances.delete
Projeto de carga de trabalho
compute.disks.create
Projeto de carga de trabalho
compute.disks.delete
Projeto de carga de trabalho
compute.instances.setMetadata
Projeto de carga de trabalho
compute.subnetworks.get
Projeto da VPC
compute.subnetworks.use
Projeto da VPC
compute.subnetworks.setPrivateIpGoogleAccess
Projeto da VPC
compute.firewalls.create
Projeto da VPC
compute.firewalls.delete
Projeto da VPC
backupdr.admin
backupdr.managementservers.manageInternalACL
Projeto de administração de backup
Após a conclusão da instalação, para a operação diária no projeto de carga de trabalho
Todas as permissões necessárias para implantação e instalação são removidas,
exceto iam.serviceAccountUser e iam.serviceAccounts.actAs. Duas funções do Cloudkms
necessárias para a operação diária são adicionadas e restritas a um único keyring.
Papel
Permissões necessárias
iam.serviceAccountUser
iam.serviceAccounts.actAs
cloudkms.cryptoKeyEncrypterDecrypter*
cloudkms.cryptoKeyVersions.useToDecrypt
cloudkms.cryptoKeyVersions.useToEncrypt
cloudkms.admin*
cloudkms.keyRings.get
backupdr.computeEngineOperator*
Todas as permissões listadas no papel.
backupdr.cloudStorageOperator**
Todas as permissões listadas no papel.
* Os papéis cloudkms estão em um único keyring. ** O papel cloudStorageOperator está em buckets com nomes que começam com
o nome do appliance de backup/recuperação.
Permissões usadas para criar um firewall no projeto
Essas permissões do IAM são usadas para criar um firewall no projeto proprietário da VPC apenas durante a criação do firewall.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-11 UTC."],[[["\u003cp\u003eA highly privileged service account is temporarily used during the backup/recovery appliance deployment process, which is utilized to perform the installation.\u003c/p\u003e\n"],["\u003cp\u003eThe service account is granted specific roles and permissions in the target, VPC, and consumer projects, as detailed in the provided table, including project IAM admin, service account user, and Cloud KMS administration roles, among others.\u003c/p\u003e\n"],["\u003cp\u003eAfter the installation is complete, most of the granted permissions are removed, and only \u003ccode\u003eiam.serviceAccountUser\u003c/code\u003e and \u003ccode\u003eiam.serviceAccounts.actAs\u003c/code\u003e remain, along with two restricted Cloud KMS roles.\u003c/p\u003e\n"],["\u003cp\u003eCertain IAM permissions are also used for creating a firewall on the VPC project, but they are only needed during firewall creation.\u003c/p\u003e\n"],["\u003cp\u003eAll permissions granted during the deployment process are no longer required after the completion of installation, except those specified for daily operation.\u003c/p\u003e\n"]]],[],null,["# Backup and DR Service installation permissions and roles reference\n\nDuring the deployment process, a service account created on your behalf uses\nthese permissions for the duration of the deployment.\n\nThe service account uses these permissions to install the backup/recovery appliance\n-----------------------------------------------------------------------------------\n\nThe service account is highly privileged in the target, VPC project,\nand consumer projects during the installation. Most of these permissions are\nremoved as the installation progresses. The following table contains the roles\ngranted to the service account and the permissions needed within each role.\n\nAfter installation is finished, for daily operation on the workload project\n---------------------------------------------------------------------------\n\nAll of the permissions required for deployment and installation are removed\nexcept for `iam.serviceAccountUser` and `iam.serviceAccounts.actAs`. Two cloudkms\nroles needed for daily operation are added, restricted to a single key ring.\n\n`*` The `cloudkms` roles are on a single key ring. \n\n`**` The `cloudStorageOperator` role is on buckets with names that start with\nthe name of the backup/recovery appliance.\n\nPermissions used to create a firewall on the project\n----------------------------------------------------\n\nThese IAM permissions are used to create a firewall on the\nproject that owns the VPC only during firewall creation. \n\n compute.firewalls.create\n compute.firewalls.delete\n compute.firewalls.get\n compute.firewalls.list\n compute.firewalls.update\n compute.networks.list\n compute.networks.get\n compute.networks.updatePolicy\n\n**All other permissions are no longer needed after installation.**"]]
