Google Compute Engine IAM ユーザー権限
ワークロードをGoogle Compute Engineにリストアできるようにするには、次の手順を実行します。
- Google Compute Engineへの接続に使用するログイン情報を持つIAMユーザーに次のロールを付与します。
- コンピュート管理者の役割(roles / compute.admin)
セキュリティ上の理由から、IAMユーザーのCompute EngineサービスアカウントにCompute Adminロールが付与されないようにするには、次のCompute Engine IAM権限を使用してカスタムロールを作成し、代わりに付与します。
compute.addresses.list |
- クラウドビルドエディターのロール(roles / cloudbuild.builds.editor)
- プロジェクトIAM管理者のロール(roles / resourcemanager.projectIamAdmin)
- ストレージ管理者のロール(roles / storage.admin)
- ストレージHMACキー管理者(roles / storage.hmacKeyAdmin)
- 閲覧者のロール(roles / viewer)
詳細については、 Google Cloudのドキュメントの「 VMイメージをインポートおよびエクスポートするための前提条件」セクションを参照してください。
- Cloud Build APIが有効になっていることを確認してください。次に、 Google Compute EngineのCloud Buildサービスアカウントに次のロールを付与します。
- コンピュート管理者のロール(roles / compute.admin)
セキュリティ上の理由からCloud BuildサービスアカウントにCompute Adminロールが付与されないようにするには、IAMユーザーのCompute Engineサービスアカウント用に作成したカスタムロールを使用して、代わりに付与することができます。
- サービスアカウントトークンクリエーターのロール(roles / iam.serviceAccountTokenCreator)
- サービスアカウントユーザーロール(roles / iam.serviceAccountUser)
- [オプション:共有VPCを使用するイメージをエクスポートまたはインポートする]コンピュートネットワークユーザーロール(roles / compute.networkUser)
詳細については、 Google Cloudのドキュメントの「 VMイメージをインポートおよびエクスポートするための前提条件」セクションを参照してください。