Google Compute Engine IAM用户权限

在本页面

    要将工作负载还原到Google Compute Engine,请执行以下操作:

    1. 将以下角色授予您计划用于连接至Google Compute Engine的凭据的IAM用户
    • 计算管理员角色(roles/compute.admin)

    为避免出于安全原因将Compute Admin角色授予IAM用户Compute Engine服务帐户,您可以创建具有以下Compute Engine IAM权限的自定义角色,并将其授予:

    compute.addresses.list
    compute.disks.create
    compute.disks.delete
    compute.disks.get
    compute.disks.use
    compute.disks.useReadOnly
    compute.firewalls.create
    compute.firewalls.delete
    compute.firewalls.list
    compute.globalOperations.get
    compute.images.create
    compute.images.delete
    compute.images.get
    compute.images.useReadOnly
    compute.instances.attachDisk
    compute.instances.create
    compute.instances.delete
    compute.instances。独立磁盘
    compute.instances.get
    compute.instances.getGuestAttributes
    compute.instances.list
    compute.instances.setLabels
    compute.instances.setMetadata
    compute.instances.setTags
    compute.instances.stop
    compute.machineTypes.list
    compute.networks.get
    compute.networks.list
    compute.networks.updatePolicy
    compute.projects.get
    compute.regions.list
    compute.subnetworks.get
    compute.subnetworks.list
    compute.subnetworks.use
    compute.subnetworks.useExternalIp
    compute.zoneOperations.get
    compute.zones.get
    compute.zones.list

    • Cloud Build Editor角色(roles/cloudbuild.builds.editor)
    • 项目IAM管理员角色(roles/resourcemanager.projectIamAdmin)
    • 存储管理员角色(roles/storage.admin)
    • 存储HMAC密钥管理员(roles/storage.hmacKeyAdmin)
    • 查看者角色(角色/查看者)

    更多信息,请参见Google Cloud文档导入和导出虚拟机映像的前提条件部分

    1. 确保已启用Cloud Build API 。然后将以下角色授予Google Compute Engine中的Cloud Build服务帐户
    • 计算管理员角色(roles/compute.admin)

    为避免出于安全原因将Compute Admin角色授予Cloud Build服务帐户,您可以使用为IAM用户Compute Engine服务帐户创建的自定义角色进行授予。

    • 服务帐户令牌创建者角色(roles/iam.serviceAccountTokenCreator)
    • 服务帐户用户角色(roles/iam.serviceAccountUser)
    • [可选:导出或导入使用共享VPC的映像]计算网络用户角色(roles/compute.networkUser)

    更多信息,请参见Google Cloud文档导入和导出虚拟机映像的前提条件部分