Google Cloud-Berechtigungen für den Connector
Änderungen vorschlagen
PDFs
Für Aktionen in Google Cloud sind für BlueXP Berechtigungen erforderlich. Diese Berechtigungen sind Bestandteil einer benutzerdefinierten Rolle, die NetApp zur Verfügung stellt. Vielleicht möchten Sie wissen, was BlueXP mit diesen Berechtigungen macht.
Berechtigungen für Dienstkonto
Die unten abgebildete benutzerdefinierte Rolle bietet die Berechtigungen, die ein Connector zur Verwaltung von Ressourcen und Prozessen in Ihrem Google Cloud-Netzwerk benötigt.
Sie müssen diese benutzerdefinierte Rolle auf ein Servicekonto anwenden, das mit der Connector-VM verbunden ist.
Außerdem müssen Sie sicherstellen, dass die Rolle auf dem neuesten Stand ist, wenn neue Berechtigungen in nachfolgenden Releases hinzugefügt werden. Wenn neue Berechtigungen erforderlich sind, werden diese in den Versionshinweisen aufgeführt.
title: NetApp BlueXP
description: Permissions for the service account associated with the Connector instance.
stage: GA
includedPermissions:
- iam.serviceAccounts.actAs
- compute.regionBackendServices.create
- compute.regionBackendServices.get
- compute.regionBackendServices.list
- compute.networks.updatePolicy
- compute.backendServices.create
- compute.addresses.list
- compute.disks.create
- compute.disks.createSnapshot
- compute.disks.delete
- compute.disks.get
- compute.disks.list
- compute.disks.setLabels
- compute.disks.use
- compute.firewalls.create
- compute.firewalls.delete
- compute.firewalls.get
- compute.firewalls.list
- compute.globalOperations.get
- compute.images.get
- compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly
- compute.instances.addAccessConfig
- compute.instances.attachDisk
- compute.instances.create
- compute.instances.delete
- compute.instances.detachDisk
- compute.instances.get
- compute.instances.getSerialPortOutput
- compute.instances.list
- compute.instances.setDeletionProtection
- compute.instances.setLabels
- compute.instances.setMachineType
- compute.instances.setMetadata
- compute.instances.setTags
- compute.instances.start
- compute.instances.stop
- compute.instances.updateDisplayDevice
- compute.instanceGroups.get
- compute.addresses.get
- compute.instances.updateNetworkInterface
- compute.machineTypes.get
- compute.networks.get
- compute.networks.list
- compute.projects.get
- compute.regions.get
- compute.regions.list
- compute.snapshots.create
- compute.snapshots.delete
- compute.snapshots.get
- compute.snapshots.list
- compute.snapshots.setLabels
- compute.subnetworks.get
- compute.subnetworks.list
- compute.subnetworks.use
- compute.subnetworks.useExternalIp
- compute.zoneOperations.get
- compute.zones.get
- compute.zones.list
- compute.instances.setServiceAccount
- deploymentmanager.compositeTypes.get
- deploymentmanager.compositeTypes.list
- deploymentmanager.deployments.create
- deploymentmanager.deployments.delete
- deploymentmanager.deployments.get
- deploymentmanager.deployments.list
- deploymentmanager.manifests.get
- deploymentmanager.manifests.list
- deploymentmanager.operations.get
- deploymentmanager.operations.list
- deploymentmanager.resources.get
- deploymentmanager.resources.list
- deploymentmanager.typeProviders.get
- deploymentmanager.typeProviders.list
- deploymentmanager.types.get
- deploymentmanager.types.list
- logging.logEntries.list
- logging.privateLogEntries.list
- resourcemanager.projects.get
- storage.buckets.create
- storage.buckets.delete
- storage.buckets.get
- storage.buckets.list
- cloudkms.cryptoKeyVersions.useToEncrypt
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list
- storage.buckets.update
- iam.serviceAccounts.getIamPolicy
- iam.serviceAccounts.list
- storage.objects.get
- storage.objects.list
- monitoring.timeSeries.list
- storage.buckets.getIamPolicy
- cloudkms.cryptoKeys.getIamPolicy
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.get
- cloudkms.keyRings.getIamPolicy
- cloudkms.keyRings.setIamPolicyVerwendung von Google Cloud-Berechtigungen
| Aktionen | Zweck |
|---|---|
- Compute.Disks.create |
Zum Erstellen und Verwalten von Festplatten für Cloud Volumes ONTAP. |
- Compute.Firewalls.create |
Um Firewall-Regeln für Cloud Volumes ONTAP zu erstellen. |
- Compute.globalOperations.get |
Um den Status von Vorgängen anzuzeigen. |
- Compute.images.get |
Um Images für VM-Instanzen zu erhalten. |
- compute.instances.attachDisk |
Zum Verbinden und Trennen von Festplatten mit Cloud Volumes ONTAP. |
- compute.instances.create |
Um Cloud Volumes ONTAP VM-Instanzen zu erstellen und zu löschen. |
- compute.instances.get |
Um VM-Instanzen aufzulisten. |
- compute.instances.getSerialPortOutput |
Um Konsolenprotokolle zu erhalten. |
- compute.instances.list |
Um die Liste der Instanzen in einer Zone abzurufen. |
- compute.instances.setDeletionProtection |
So legen Sie den Löschschutz für die Instanz fest: |
- compute.instances.setLabels |
So fügen Sie Etiketten hinzu: |
- compute.instances.setMachineType |
So ändern Sie den Maschinentyp für Cloud Volumes ONTAP. |
- compute.instances.setMetadata |
Um Metadaten hinzuzufügen. |
- compute.instances.setTags |
Um Tags für Firewall-Regeln hinzuzufügen. |
- compute.instances.start |
Um Cloud Volumes ONTAP zu starten und anzuhalten. |
- Compute.machineTypes.get |
Um die Anzahl der Kerne zu erhalten, um qouten zu überprüfen. |
- compute.projects.get |
Zur Unterstützung mehrerer Projekte. |
- Compute.Snapshots.create |
Um persistente Festplatten-Snapshots zu erstellen und zu managen. |
- compute.networks.get |
Um die Netzwerkinformationen zu erhalten, die für die Erstellung einer neuen Instanz einer Cloud Volumes ONTAP Virtual Machine erforderlich sind. |
- deploymentmanager.compositeTypes.get |
Um die Cloud Volumes ONTAP VM-Instanz mithilfe von Google Cloud Deployment Manager bereitzustellen. |
- Logging.logEinträge.list |
Zum Abrufen von Stack-Protokolllaufwerken. |
- resourcemanager.projects.get |
Zur Unterstützung mehrerer Projekte. |
- Storage.Buckets.create |
Zur Erstellung und Verwaltung eines Google Cloud Storage Buckets für Daten-Tiering |
- cloudkms.cryptoKeyVersions.useToEncrypt |
Verwenden von vom Kunden gemanagten Verschlüsselungen aus dem Cloud-Verschlüsselungsmanagement-Service mit Cloud Volumes ONTAP. |
- compute.instances.setServiceAccount |
So legen Sie ein Servicekonto für die Cloud Volumes ONTAP-Instanz fest: Dieses Servicekonto bietet Berechtigungen für Daten-Tiering zu einem Google Cloud Storage Bucket. |
- Compute.Addresses.list |
So rufen Sie die Adressen in einer Region ab, wenn Sie ein HA-Paar bereitstellen. |
- Compute.backendServices.create |
Um einen Backend-Service für die Verteilung von Datenverkehr in einem HA-Paar zu konfigurieren |
- compute.networks.updatePolicy |
So wenden Sie Firewall-Regeln auf die VPCs und Subnetze für ein HA-Paar an. |
- compute.subnetworks.use |
Um die BlueXP Klassifizierung zu aktivieren. |
- compute.instanceGroups.get |
Um Storage VMs auf Cloud Volumes ONTAP HA-Paaren zu erstellen und zu managen. |
- Monitoring.timeseries.list |
Um Informationen zu Google Cloud Storage Buckets zu erhalten. |
- Cloudkms.cryptkeys.get |
So wählen Sie im BlueXP Aktivierungsassistenten für Backup und Recovery eigene vom Kunden gemanagte Schlüssel aus, statt die standardmäßigen, von Google gemanagten Schlüssel zu verwenden. |
Änderungsprotokoll
Wenn Berechtigungen hinzugefügt und entfernt werden, werden wir diese in den folgenden Abschnitten zur Kenntnis nehmen.
6 Februar 2023
Die folgende Berechtigung wurde dieser Richtlinie hinzugefügt:
-
compute.instances.updateNetworkInterface
Diese Erlaubnis ist für Cloud Volumes ONTAP erforderlich.
27 Januar 2023
Die Richtlinie hat folgende Berechtigungen hinzugefügt:
-
Cloudkms.KryptoKeys.getIamPolicy
-
cloudkms.cryptoKeys.setIamPolicy
-
Cloudkms.Schlüsselanhänger.get
-
Cloudkms.Keyrings.getIamPolicy
-
cloudkms.keyRings.setIamPolicy
Diese Berechtigungen sind für das Backup und Recovery von BlueXP erforderlich.