Google Compute Engine IAM用户权限
要将工作负载还原到Google Compute Engine,请执行以下操作:
- 将以下角色授予您计划用于连接至Google Compute Engine的凭据的IAM用户:
- 计算管理员角色(roles/compute.admin)
为避免出于安全原因将Compute Admin角色授予IAM用户Compute Engine服务帐户,您可以创建具有以下Compute Engine IAM权限的自定义角色,并将其授予:
compute.addresses.list |
- Cloud Build Editor角色(roles/cloudbuild.builds.editor)
- 项目IAM管理员角色(roles/resourcemanager.projectIamAdmin)
- 存储管理员角色(roles/storage.admin)
- 存储HMAC密钥管理员(roles/storage.hmacKeyAdmin)
- 查看者角色(角色/查看者)
更多信息,请参见Google Cloud文档中导入和导出虚拟机映像的前提条件部分。
- 确保已启用Cloud Build API 。然后将以下角色授予Google Compute Engine中的Cloud Build服务帐户:
- 计算管理员角色(roles/compute.admin)
为避免出于安全原因将Compute Admin角色授予Cloud Build服务帐户,您可以使用为IAM用户Compute Engine服务帐户创建的自定义角色进行授予。
- 服务帐户令牌创建者角色(roles/iam.serviceAccountTokenCreator)
- 服务帐户用户角色(roles/iam.serviceAccountUser)
- [可选:导出或导入使用共享VPC的映像]计算网络用户角色(roles/compute.networkUser)
更多信息,请参见Google Cloud文档中导入和导出虚拟机映像的前提条件部分。