Autorisations Google Cloud pour le connecteur
Suggérer des modifications
PDF
BlueXP requiert des autorisations pour effectuer des actions dans Google Cloud. Ces autorisations sont incluses dans un rôle personnalisé fourni par NetApp. Vous voudrez peut-être comprendre ce que BlueXP fait avec ces autorisations.
Autorisations de compte de service
Le rôle personnalisé illustré ci-dessous fournit les autorisations dont un connecteur a besoin pour gérer les ressources et les processus au sein de votre réseau Google Cloud.
Vous devez appliquer ce rôle personnalisé à un compte de service rattaché à la machine virtuelle Connector.
Vous devez également vous assurer que le rôle est à jour lorsque de nouvelles autorisations sont ajoutées dans les versions suivantes. Si de nouvelles autorisations sont requises, elles seront répertoriées dans les notes de version.
title: NetApp BlueXP
description: Permissions for the service account associated with the Connector instance.
stage: GA
includedPermissions:
- iam.serviceAccounts.actAs
- compute.regionBackendServices.create
- compute.regionBackendServices.get
- compute.regionBackendServices.list
- compute.networks.updatePolicy
- compute.backendServices.create
- compute.addresses.list
- compute.disks.create
- compute.disks.createSnapshot
- compute.disks.delete
- compute.disks.get
- compute.disks.list
- compute.disks.setLabels
- compute.disks.use
- compute.firewalls.create
- compute.firewalls.delete
- compute.firewalls.get
- compute.firewalls.list
- compute.globalOperations.get
- compute.images.get
- compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly
- compute.instances.addAccessConfig
- compute.instances.attachDisk
- compute.instances.create
- compute.instances.delete
- compute.instances.detachDisk
- compute.instances.get
- compute.instances.getSerialPortOutput
- compute.instances.list
- compute.instances.setDeletionProtection
- compute.instances.setLabels
- compute.instances.setMachineType
- compute.instances.setMetadata
- compute.instances.setTags
- compute.instances.start
- compute.instances.stop
- compute.instances.updateDisplayDevice
- compute.instanceGroups.get
- compute.addresses.get
- compute.instances.updateNetworkInterface
- compute.machineTypes.get
- compute.networks.get
- compute.networks.list
- compute.projects.get
- compute.regions.get
- compute.regions.list
- compute.snapshots.create
- compute.snapshots.delete
- compute.snapshots.get
- compute.snapshots.list
- compute.snapshots.setLabels
- compute.subnetworks.get
- compute.subnetworks.list
- compute.subnetworks.use
- compute.subnetworks.useExternalIp
- compute.zoneOperations.get
- compute.zones.get
- compute.zones.list
- compute.instances.setServiceAccount
- deploymentmanager.compositeTypes.get
- deploymentmanager.compositeTypes.list
- deploymentmanager.deployments.create
- deploymentmanager.deployments.delete
- deploymentmanager.deployments.get
- deploymentmanager.deployments.list
- deploymentmanager.manifests.get
- deploymentmanager.manifests.list
- deploymentmanager.operations.get
- deploymentmanager.operations.list
- deploymentmanager.resources.get
- deploymentmanager.resources.list
- deploymentmanager.typeProviders.get
- deploymentmanager.typeProviders.list
- deploymentmanager.types.get
- deploymentmanager.types.list
- logging.logEntries.list
- logging.privateLogEntries.list
- resourcemanager.projects.get
- storage.buckets.create
- storage.buckets.delete
- storage.buckets.get
- storage.buckets.list
- cloudkms.cryptoKeyVersions.useToEncrypt
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list
- storage.buckets.update
- iam.serviceAccounts.getIamPolicy
- iam.serviceAccounts.list
- storage.objects.get
- storage.objects.list
- monitoring.timeSeries.list
- storage.buckets.getIamPolicy
- cloudkms.cryptoKeys.getIamPolicy
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.get
- cloudkms.keyRings.getIamPolicy
- cloudkms.keyRings.setIamPolicyUtilisation des autorisations Google Cloud
| Actions | Objectif |
|---|---|
- compute.disks.create |
Pour créer et gérer des disques pour Cloud Volumes ONTAP. |
- compute.firewalls.create |
Pour créer des règles de pare-feu pour Cloud Volumes ONTAP. |
- Compute.globalOperations.get |
Pour obtenir l'état des opérations. |
- compute.images.get |
Pour obtenir les images des instances de VM. |
- compute.instances.attachDisk |
Pour attacher et détacher les disques à Cloud Volumes ONTAP. |
- compute.instances.create |
Pour créer et supprimer des instances de VM Cloud Volumes ONTAP. |
- compute.instances.get |
Pour afficher la liste des instances de VM. |
- compute.instances.getSerialPortOutput |
Pour obtenir les journaux de la console. |
- compute.instances.list |
Pour récupérer la liste des instances dans une zone. |
- compute.instances.setDeletionProtection |
Pour définir la protection de suppression sur l'instance. |
- compute.instances.setLabels |
Pour ajouter des étiquettes. |
- compute.instances.setMachineType |
Pour modifier le type de machine pour Cloud Volumes ONTAP. |
- compute.instances.setMetadata |
Pour ajouter des métadonnées. |
- compute.instances.setTags |
Pour ajouter des balises pour les règles de pare-feu. |
- compute.instances.start |
Pour démarrer et arrêter Cloud Volumes ONTAP. |
- Compute.machineTypes.get |
Pour obtenir le nombre de cœurs à vérifier qoupas. |
- compute.projects.get |
Pour prendre en charge des projets multiples. |
- compute.snapshots.create |
Pour créer et gérer des snapshots de disques persistants. |
- compute.networks.get |
Pour obtenir les informations de mise en réseau nécessaires à la création d'une nouvelle instance de machine virtuelle Cloud Volumes ONTAP. |
- deploymentmanager.compositeTypes.get |
Pour déployer l'instance de machine virtuelle Cloud Volumes ONTAP à l'aide de Google Cloud Deployment Manager. |
- LogEntries.list |
Pour obtenir les disques de consignation des piles. |
- resourcemanager.projects.get |
Pour prendre en charge des projets multiples. |
- storage.buckets.create |
Pour créer et gérer un compartiment Google Cloud Storage pour le Tiering des données. |
- cloudkms.cryptoKeyVersions.useToEncrypt |
Pour utiliser des clés de chiffrement gérées par le client à partir du service Cloud Key Management avec Cloud Volumes ONTAP. |
- compute.instances.setServiceAccount |
Pour définir un compte de service sur l'instance Cloud Volumes ONTAP. Ce compte de service fournit des autorisations de Tiering des données vers un compartiment Google Cloud Storage. |
- compute.adresses.list |
Pour récupérer les adresses d'une région lors du déploiement d'une paire haute disponibilité. |
- Compute.backendServices.create |
Pour configurer un service back-end pour la distribution du trafic dans une paire HA. |
- compute.networks.updatePolicy |
Pour appliquer des règles de pare-feu sur les VPC et les sous-réseaux d'une paire HA. |
- compute.subnetworks.use |
Pour activer la classification BlueXP. |
- compute.instanceGroups.get |
Pour créer et gérer des machines virtuelles de stockage sur des paires haute disponibilité Cloud Volumes ONTAP. |
- Monitoring.timeseries.list |
Pour découvrir des compartiments Google Cloud Storage. |
- Cloudkms.cryptoKeys.get |
Pour sélectionner vos propres clés gérées par le client dans l'assistant d'activation de la sauvegarde et de la restauration BlueXP au lieu d'utiliser les clés de chiffrement gérées par Google par défaut. |
Journal des modifications
Lorsque des autorisations sont ajoutées et supprimées, nous les noterons dans les sections ci-dessous.
6 février 2023
L'autorisation suivante a été ajoutée à cette règle :
-
compute.instances.updateNetworkInterface
Cette autorisation est requise pour Cloud Volumes ONTAP.
27 janvier 2023
Les autorisations suivantes ont été ajoutées à la stratégie :
-
Cloudkms.cryptoKeys.getIamPolicy
-
cloudkms.cryptoKeys.setIamPolicy
-
Cloudkms.keyrings.get
-
Cloudkms.keyrings.getIamPolicy
-
cloudkms.keyRings.setIamPolicy
Ces autorisations sont requises pour la sauvegarde et la restauration BlueXP.