Google Compute Engine IAM ユーザー権限

ワークロードをGoogle Compute Engineにリストアできるようにするには、次の手順を実行します。

  1. Google Compute Engineへの接続に使用するログイン情報を持つIAMユーザーに次のロールを付与します
  • コンピュート管理者の役割(roles / compute.admin)

セキュリティ上の理由から、IAMユーザーのCompute EngineサービスアカウントにCompute Adminロールが付与されないようにするには、次のCompute Engine IAM権限を使用してカスタムロールを作成し、代わりに付与します。

compute.addresses.list
Compute.disks.create
Compute.disks.delete
compute.disks.get
compute.disks.use
Compute.disks.useReadOnly
Compute.firewalls.create
Compute.firewalls.delete
compute.firewalls.list
compute.globalOperations.get
Compute.images.create
Compute.images.delete
compute.images.get
Compute.images.useReadOnly
Compute.instances.attachDisk
Compute.instances.create
Compute.instances.delete
Compute.instances.detachDisk
compute.instances.get
Compute.instances.getGuestAttributes
compute.instances.list
Compute.instances.setLabels
Compute.instances.setMetadata
Compute.instances.setTags
compute.instances.stop
compute.machineTypes.list
compute.networks.get
compute.networks.list
Compute.networks.updatePolicy
compute.projects.get
compute.regions.list
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
Compute.subnetworks.useExternalIp
compute.zoneOperations.get
compute.zones.get
compute.zones.list

  • クラウドビルドエディターのロール(roles / cloudbuild.builds.editor)
  • プロジェクトIAM管理者のロール(roles / resourcemanager.projectIamAdmin)
  • ストレージ管理者のロール(roles / storage.admin)
  • ストレージHMACキー管理者(roles / storage.hmacKeyAdmin)
  • 閲覧者のロール(roles / viewer)

詳細については、 Google Cloudのドキュメントの「 VMイメージをインポートおよびエクスポートするための前提条件」セクションを参照してください

  1. Cloud Build APIが有効になっていることを確認してください。次に、 Google Compute EngineのCloud Buildサービスアカウントに次のロールを付与します
  • コンピュート管理者のロール(roles / compute.admin)

セキュリティ上の理由からCloud BuildサービスアカウントにCompute Adminロールが付与されないようにするには、IAMユーザーのCompute Engineサービスアカウント用に作成したカスタムロールを使用して、代わりに付与することができます。

  • サービスアカウントトークンクリエーターのロール(roles / iam.serviceAccountTokenCreator)
  • サービスアカウントユーザーロール(roles / iam.serviceAccountUser)
  • [オプション:共有VPCを使用するイメージをエクスポートまたはインポートする]コンピュートネットワークユーザーロール(roles / compute.networkUser)

詳細については、 Google Cloudのドキュメントの「 VMイメージをインポートおよびエクスポートするための前提条件」セクションを参照してください