Google Compute Engine IAM用户权限

要将工作负载还原到Google Compute Engine，请执行以下操作：

将以下角色授予您计划用于连接至Google Compute Engine的凭据的IAM用户：

计算管理员角色（roles/compute.admin）

为避免出于安全原因将Compute Admin角色授予IAM用户Compute Engine服务帐户，您可以创建具有以下Compute Engine IAM权限的自定义角色，并将其授予：

compute.addresses.list
compute.disks.create
compute.disks.delete
compute.disks.get
compute.disks.use
compute.disks.useReadOnly
compute.firewalls.create
compute.firewalls.delete
compute.firewalls.list
compute.globalOperations.get
compute.images.create
compute.images.delete
compute.images.get
compute.images.useReadOnly
compute.instances.attachDisk
compute.instances.create
compute.instances.delete
compute.instances。独立磁盘
compute.instances.get
compute.instances.getGuestAttributes
compute.instances.list
compute.instances.setLabels
compute.instances.setMetadata
compute.instances.setTags
compute.instances.stop
compute.machineTypes.list
compute.networks.get
compute.networks.list
compute.networks.updatePolicy
compute.projects.get
compute.regions.list
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.zoneOperations.get
compute.zones.get
compute.zones.list

Cloud Build Editor角色（roles/cloudbuild.builds.editor）
项目IAM管理员角色（roles/resourcemanager.projectIamAdmin）
存储管理员角色（roles/storage.admin）
存储HMAC密钥管理员（roles/storage.hmacKeyAdmin）
查看者角色（角色/查看者）

更多信息，请参见Google Cloud文档中导入和导出虚拟机映像的前提条件部分。

确保已启用Cloud Build API 。然后将以下角色授予Google Compute Engine中的Cloud Build服务帐户：

计算管理员角色（roles/compute.admin）

为避免出于安全原因将Compute Admin角色授予Cloud Build服务帐户，您可以使用为IAM用户Compute Engine服务帐户创建的自定义角色进行授予。

服务帐户令牌创建者角色（roles/iam.serviceAccountTokenCreator）
服务帐户用户角色（roles/iam.serviceAccountUser）
[可选：导出或导入使用共享VPC的映像]计算网络用户角色（roles/compute.networkUser）

更多信息，请参见Google Cloud文档中导入和导出虚拟机映像的前提条件部分。