Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Autorisations Google Cloud pour le connecteur

Contributeurs

BlueXP requiert des autorisations pour effectuer des actions dans Google Cloud. Ces autorisations sont incluses dans un rôle personnalisé fourni par NetApp. Vous voudrez peut-être comprendre ce que BlueXP fait avec ces autorisations.

Autorisations de compte de service

Le rôle personnalisé illustré ci-dessous fournit les autorisations dont un connecteur a besoin pour gérer les ressources et les processus au sein de votre réseau Google Cloud.

Vous devez appliquer ce rôle personnalisé à un compte de service rattaché à la machine virtuelle Connector.

Vous devez également vous assurer que le rôle est à jour lorsque de nouvelles autorisations sont ajoutées dans les versions suivantes.

title: NetApp BlueXP
description: Permissions for the service account associated with the Connector instance.
stage: GA
includedPermissions:
- iam.serviceAccounts.actAs
- compute.regionBackendServices.create
- compute.regionBackendServices.get
- compute.regionBackendServices.list
- compute.networks.updatePolicy
- compute.backendServices.create
- compute.addresses.list
- compute.disks.create
- compute.disks.createSnapshot
- compute.disks.delete
- compute.disks.get
- compute.disks.list
- compute.disks.setLabels
- compute.disks.use
- compute.firewalls.create
- compute.firewalls.delete
- compute.firewalls.get
- compute.firewalls.list
- compute.globalOperations.get
- compute.images.get
- compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly
- compute.instances.addAccessConfig
- compute.instances.attachDisk
- compute.instances.create
- compute.instances.delete
- compute.instances.detachDisk
- compute.instances.get
- compute.instances.getSerialPortOutput
- compute.instances.list
- compute.instances.setDeletionProtection
- compute.instances.setLabels
- compute.instances.setMachineType
- compute.instances.setMetadata
- compute.instances.setTags
- compute.instances.start
- compute.instances.stop
- compute.instances.updateDisplayDevice
- compute.instanceGroups.get
- compute.addresses.get
- compute.instances.updateNetworkInterface
- compute.machineTypes.get
- compute.networks.get
- compute.networks.list
- compute.projects.get
- compute.regions.get
- compute.regions.list
- compute.snapshots.create
- compute.snapshots.delete
- compute.snapshots.get
- compute.snapshots.list
- compute.snapshots.setLabels
- compute.subnetworks.get
- compute.subnetworks.list
- compute.subnetworks.use
- compute.subnetworks.useExternalIp
- compute.zoneOperations.get
- compute.zones.get
- compute.zones.list
- compute.instances.setServiceAccount
- deploymentmanager.compositeTypes.get
- deploymentmanager.compositeTypes.list
- deploymentmanager.deployments.create
- deploymentmanager.deployments.delete
- deploymentmanager.deployments.get
- deploymentmanager.deployments.list
- deploymentmanager.manifests.get
- deploymentmanager.manifests.list
- deploymentmanager.operations.get
- deploymentmanager.operations.list
- deploymentmanager.resources.get
- deploymentmanager.resources.list
- deploymentmanager.typeProviders.get
- deploymentmanager.typeProviders.list
- deploymentmanager.types.get
- deploymentmanager.types.list
- logging.logEntries.list
- logging.privateLogEntries.list
- resourcemanager.projects.get
- storage.buckets.create
- storage.buckets.delete
- storage.buckets.get
- storage.buckets.list
- cloudkms.cryptoKeyVersions.useToEncrypt
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list
- storage.buckets.update
- iam.serviceAccounts.getIamPolicy
- iam.serviceAccounts.list
- storage.objects.get
- storage.objects.list
- monitoring.timeSeries.list
- storage.buckets.getIamPolicy
- cloudkms.cryptoKeys.getIamPolicy
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.get
- cloudkms.keyRings.getIamPolicy
- cloudkms.keyRings.setIamPolicy

Utilisation des autorisations Google Cloud

Actions Objectif

- compute.disks.create
- Compute.disks.createSnapshot
- compute.disks.delete
- compute.disks.get
- compute.disks.list
- compute.disks.setLabels
- compute.disks.use

Pour créer et gérer des disques pour Cloud Volumes ONTAP.

- compute.firewalls.create
- compute.firewalls.delete
- compute.firewalls.get
- compute.firewalls.list

Pour créer des règles de pare-feu pour Cloud Volumes ONTAP.

- Compute.globalOperations.get

Pour obtenir l'état des opérations.

- compute.images.get
- Compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly

Pour obtenir les images des instances de VM.

- compute.instances.attachDisk
- compute.instances.detachDisk

Pour attacher et détacher les disques à Cloud Volumes ONTAP.

- compute.instances.create
- compute.instances.delete

Pour créer et supprimer des instances de VM Cloud Volumes ONTAP.

- compute.instances.get

Pour afficher la liste des instances de VM.

- compute.instances.getSerialPortOutput

Pour obtenir les journaux de la console.

- compute.instances.list

Pour récupérer la liste des instances dans une zone.

- compute.instances.setDeletionProtection

Pour définir la protection de suppression sur l'instance.

- compute.instances.setLabels

Pour ajouter des étiquettes.

- compute.instances.setMachineType
- compute.instances.setMinCpuPlatform

Pour modifier le type de machine pour Cloud Volumes ONTAP.

- compute.instances.setMetadata

Pour ajouter des métadonnées.

- compute.instances.setTags

Pour ajouter des balises pour les règles de pare-feu.

- compute.instances.start
- compute.instances.stop
- compute.instances.updateDisplayDevice

Pour démarrer et arrêter Cloud Volumes ONTAP.

- Compute.machineTypes.get

Pour obtenir le nombre de cœurs à vérifier qoupas.

- compute.projects.get

Pour prendre en charge des projets multiples.

- compute.snapshots.create
- compute.snapshots.delete
- compute.snapshots.get
- compute.snapshots.list
- compute.snapshots.setLabels

Pour créer et gérer des snapshots de disques persistants.

- compute.networks.get
- compute.networks.list
- compute.regions.get
- compute.regions.list
- compute.subresles.get
- compute.subresles.list
- Compute.zoneOperations.get
- compute.zones.get
- compute.zones.list

Pour obtenir les informations de mise en réseau nécessaires à la création d'une nouvelle instance de machine virtuelle Cloud Volumes ONTAP.

- deploymentmanager.compositeTypes.get
- deploymentmanager.compositeTypes.list
- deploymentmanager.deployments.create
- deploymentmanager.deployments.delete
- deploymentmanager.deployments.get
- deploymentmanager.deployments.list
- deploymentmanager.manifestes.get
- deploymentmanager.manifestes.list
- deploymentmanager.operations.get
- deploymentmanager.operations.list
- deploymentmanager.resources.get
- deploymentmanager.resources.list
- deploymentmanager.typeProviders.get
- deploymentmanager.typeProviders.list
- deploymentmanager.types.get
- deploymentmanager.types.list

Pour déployer l'instance de machine virtuelle Cloud Volumes ONTAP à l'aide de Google Cloud Deployment Manager.

- LogEntries.list
- Logging.privateLogEntries.list

Pour obtenir les disques de consignation des piles.

- resourcemanager.projects.get

Pour prendre en charge des projets multiples.

- storage.buckets.create
- storage.buckets.delete
- stockage.seaux.get
- storage.buckets.list
- storage.buckets.update

Pour créer et gérer un compartiment Google Cloud Storage pour le Tiering des données.

- cloudkms.cryptoKeyVersions.useToEncrypt
- Cloudkms.cryptoKeys.get
- Cloudkms.cryptoKeys.list
- Cloudkms.keyrings.list

Pour utiliser des clés de chiffrement gérées par le client à partir du service Cloud Key Management avec Cloud Volumes ONTAP.

- compute.instances.setServiceAccount
- iam.serviceAccounts.actAs
- iam.serviceAccounts.getIamPolicy
- iam.serviceAccounts.list
- storage.objects.get
- storage.objects.list

Pour définir un compte de service sur l'instance Cloud Volumes ONTAP. Ce compte de service fournit des autorisations de Tiering des données vers un compartiment Google Cloud Storage.

- compute.adresses.list

Pour récupérer les adresses d'une région lors du déploiement d'une paire haute disponibilité.

- Compute.backendServices.create
- Compute.regionBackendServices.create
- Compute.regionBackendServices.get
- Compute.regionBackendServices.list

Pour configurer un service back-end pour la distribution du trafic dans une paire HA.

- compute.networks.updatePolicy

Pour appliquer des règles de pare-feu sur les VPC et les sous-réseaux d'une paire HA.

- compute.subnetworks.use
- compute.subnetworks.useExternalIp
- compute.instances.addAccessConfig

Pour activer la classification BlueXP.

- container.clusters.get
- container.clusters.list

Pour détecter les clusters Kubernetes s'exécutant dans Google Kubernetes Engine.

- compute.instanceGroups.get
- compute.addresses.get
- compute.instances.updateNetworkInterface

Pour créer et gérer des machines virtuelles de stockage sur des paires haute disponibilité Cloud Volumes ONTAP.

- Monitoring.timeseries.list
- Storage.buckets.getIamPolicy

Pour découvrir des compartiments Google Cloud Storage.

- Cloudkms.cryptoKeys.get
- Cloudkms.cryptoKeys.getIamPolicy
- Cloudkms.cryptoKeys.list
- cloudkms.cryptoKeys.setIamPolicy
- Cloudkms.keyrings.get
- Cloudkms.keyroings.getIamPolicy
- Cloudkms.keyrings.list
- cloudkms.keyRings.setIamPolicy

Pour sélectionner vos propres clés gérées par le client dans l'assistant d'activation de la sauvegarde et de la restauration BlueXP au lieu d'utiliser les clés de chiffrement gérées par Google par défaut.

Journal des modifications

Lorsque des autorisations sont ajoutées et supprimées, nous les noterons dans les sections ci-dessous.

6 février 2023

L'autorisation suivante a été ajoutée à cette règle :

  • compute.instances.updateNetworkInterface

Cette autorisation est requise pour Cloud Volumes ONTAP.

27 janvier 2023

Les autorisations suivantes ont été ajoutées à la stratégie :

  • Cloudkms.cryptoKeys.getIamPolicy

  • cloudkms.cryptoKeys.setIamPolicy

  • Cloudkms.keyrings.get

  • Cloudkms.keyrings.getIamPolicy

  • cloudkms.keyRings.setIamPolicy

Ces autorisations sont requises pour la sauvegarde et la restauration BlueXP.