備份和災難復原安裝權限與角色參考資料

在部署程序期間,為您建立的服務帳戶會在部署期間使用這些權限。

服務帳戶會使用這些權限安裝備份/復原設備

在安裝期間,服務帳戶在目標、VPC 專案和消費者專案中具有高度權限。這些權限大多會在安裝過程中移除。下表列出授予服務帳戶的角色,以及各角色所需的權限。

角色 所需權限 如果是共用虛擬私有雲,請指派給:
resourcemanager.projectIamAdmin resourcemanager.projects.getIamPolicy 虛擬私有雲擁有者、備份管理員和工作負載專案
resourcemanager.projects.setIamPolicy 虛擬私有雲擁有者、備份管理員和工作負載專案
iam.serviceAccountUser iam.serviceAccounts.actAs 工作負載專案
iam.serviceAccountTokenCreator iam.serviceAccounts.getOpenIdToken 工作負載專案
cloudkms.admin cloudkms.keyRings.create 虛擬私有雲擁有者、備份管理員和工作負載專案
cloudkms.keyRings.getIamPolicy 虛擬私有雲擁有者、備份管理員和工作負載專案
cloudkms.keyRings.setIamPolicy 虛擬私有雲擁有者、備份管理員和工作負載專案
logging.logWriter logging.logs.write 工作負載專案
compute.admin compute.instances.create 工作負載專案
compute.instances.delete 工作負載專案
compute.disks.create 工作負載專案
compute.disks.delete 工作負載專案
compute.instances.setMetadata 工作負載專案
compute.subnetworks.get 虛擬私有雲專案
compute.subnetworks.use 虛擬私有雲專案
compute.subnetworks.setPrivateIpGoogleAccess 虛擬私有雲專案
compute.firewalls.create 虛擬私有雲專案
compute.firewalls.delete 虛擬私有雲專案
backupdr.admin backupdr.managementservers.manageInternalACL 備份管理員專案

安裝完成後,針對工作負載專案的日常作業

系統會移除所有部署和安裝作業所需的權限,但 iam.serviceAccountUseriam.serviceAccounts.actAs 除外。新增兩個雲端金鑰管理服務角色 (用於日常運作),並限制為單一鑰匙圈。

角色 所需權限
iam.serviceAccountUser iam.serviceAccounts.actAs
cloudkms.cryptoKeyEncrypterDecrypter* cloudkms.cryptoKeyVersions.useToDecrypt
cloudkms.cryptoKeyVersions.useToEncrypt
cloudkms.admin* cloudkms.keyRings.get
backupdr.computeEngineOperator* 角色中列出的所有權限。
backupdr.cloudStorageOperator** 角色中列出的所有權限。

* cloudkms 角色位於單一金鑰環中。
** cloudStorageOperator 角色會套用至名稱以備份/復原設備名稱開頭的值區。

用於在專案中建立防火牆的權限

這些身分與存取權管理權限僅在建立防火牆時,用於在擁有虛擬私人雲端網路的專案中建立防火牆。

compute.firewalls.create
compute.firewalls.delete
compute.firewalls.get
compute.firewalls.list
compute.firewalls.update
compute.networks.list
compute.networks.get
compute.networks.updatePolicy

安裝完成後,您就不需要其他權限。