Note di rilascio
Permessi Google Cloud per il connettore
Suggerisci modifiche
PDF
BlueXP richiede autorizzazioni per eseguire azioni in Google Cloud. Queste autorizzazioni sono incluse in un ruolo personalizzato fornito da NetApp. È possibile comprendere le funzioni di BlueXP con queste autorizzazioni.
Autorizzazioni dell'account di servizio
Il ruolo personalizzato mostrato di seguito fornisce le autorizzazioni necessarie a un connettore per gestire le risorse e i processi all'interno della rete Google Cloud.
È necessario applicare questo ruolo personalizzato a un account di servizio che viene collegato alla macchina virtuale del connettore.
Inoltre, è necessario assicurarsi che il ruolo sia aggiornato quando vengono aggiunte nuove autorizzazioni nelle release successive.
title: NetApp BlueXP
description: Permissions for the service account associated with the Connector instance.
stage: GA
includedPermissions:
- iam.serviceAccounts.actAs
- compute.regionBackendServices.create
- compute.regionBackendServices.get
- compute.regionBackendServices.list
- compute.networks.updatePolicy
- compute.backendServices.create
- compute.addresses.list
- compute.disks.create
- compute.disks.createSnapshot
- compute.disks.delete
- compute.disks.get
- compute.disks.list
- compute.disks.setLabels
- compute.disks.use
- compute.firewalls.create
- compute.firewalls.delete
- compute.firewalls.get
- compute.firewalls.list
- compute.globalOperations.get
- compute.images.get
- compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly
- compute.instances.addAccessConfig
- compute.instances.attachDisk
- compute.instances.create
- compute.instances.delete
- compute.instances.detachDisk
- compute.instances.get
- compute.instances.getSerialPortOutput
- compute.instances.list
- compute.instances.setDeletionProtection
- compute.instances.setLabels
- compute.instances.setMachineType
- compute.instances.setMetadata
- compute.instances.setTags
- compute.instances.start
- compute.instances.stop
- compute.instances.updateDisplayDevice
- compute.instanceGroups.get
- compute.addresses.get
- compute.instances.updateNetworkInterface
- compute.machineTypes.get
- compute.networks.get
- compute.networks.list
- compute.projects.get
- compute.regions.get
- compute.regions.list
- compute.snapshots.create
- compute.snapshots.delete
- compute.snapshots.get
- compute.snapshots.list
- compute.snapshots.setLabels
- compute.subnetworks.get
- compute.subnetworks.list
- compute.subnetworks.use
- compute.subnetworks.useExternalIp
- compute.zoneOperations.get
- compute.zones.get
- compute.zones.list
- compute.instances.setServiceAccount
- deploymentmanager.compositeTypes.get
- deploymentmanager.compositeTypes.list
- deploymentmanager.deployments.create
- deploymentmanager.deployments.delete
- deploymentmanager.deployments.get
- deploymentmanager.deployments.list
- deploymentmanager.manifests.get
- deploymentmanager.manifests.list
- deploymentmanager.operations.get
- deploymentmanager.operations.list
- deploymentmanager.resources.get
- deploymentmanager.resources.list
- deploymentmanager.typeProviders.get
- deploymentmanager.typeProviders.list
- deploymentmanager.types.get
- deploymentmanager.types.list
- logging.logEntries.list
- logging.privateLogEntries.list
- resourcemanager.projects.get
- storage.buckets.create
- storage.buckets.delete
- storage.buckets.get
- storage.buckets.list
- cloudkms.cryptoKeyVersions.useToEncrypt
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list
- storage.buckets.update
- iam.serviceAccounts.getIamPolicy
- iam.serviceAccounts.list
- storage.objects.get
- storage.objects.list
- monitoring.timeSeries.list
- storage.buckets.getIamPolicy
- cloudkms.cryptoKeys.getIamPolicy
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.get
- cloudkms.keyRings.getIamPolicy
- cloudkms.keyRings.setIamPolicyModalità di utilizzo delle autorizzazioni Google Cloud
| Azioni | Scopo |
|---|---|
- compute.disks.create |
Per creare e gestire dischi per Cloud Volumes ONTAP. |
- compute.firewalls.create |
Per creare regole firewall per Cloud Volumes ONTAP. |
- Compute.globalOperations.get |
Per ottenere lo stato delle operazioni. |
- compute.images.get |
Per ottenere immagini per istanze di macchine virtuali. |
- compute.instances.attachDisk |
Per collegare e scollegare i dischi a Cloud Volumes ONTAP. |
- compute.instances.create |
Per creare ed eliminare istanze di Cloud Volumes ONTAP VM. |
- compute.instances.get |
Per elencare le istanze di macchine virtuali. |
- compute.instances.getSerialPortOutput |
Per ottenere i log della console. |
- compute.instances.list |
Per recuperare l'elenco di istanze in una zona. |
- compute.instances.setDeletionProtection |
Per impostare la protezione di eliminazione sull'istanza. |
- compute.instances.setLabels |
Per aggiungere etichette. |
- compute.instances.setMachineType |
Per modificare il tipo di macchina per Cloud Volumes ONTAP. |
- compute.instances.setMetadata |
Per aggiungere metadati. |
- compute.instances.setTags |
Per aggiungere tag per le regole del firewall. |
- compute.instances.start |
Per avviare e arrestare Cloud Volumes ONTAP. |
- Compute.machineTypes.get |
Per ottenere il numero di core per controllare le qoutas. |
- compute.projects.get |
Per supportare progetti multipli. |
- compute.snapshot.create |
Per creare e gestire snapshot di dischi persistenti. |
- compute.networks.get |
Per ottenere le informazioni di rete necessarie per creare una nuova istanza di macchina virtuale Cloud Volumes ONTAP. |
- deploymentmanager.compositeTypes.get |
Per implementare l'istanza della macchina virtuale Cloud Volumes ONTAP utilizzando Google Cloud Deployment Manager. |
- Logging.logEntries.list |
Per ottenere unità di log stack. |
- resourcemanager.projects.get |
Per supportare progetti multipli. |
- storage.bucket.create |
Per creare e gestire un bucket di storage Google Cloud per il tiering dei dati. |
- cloudkms.cryptoKeyVersions.useToEncrypt |
Per utilizzare le chiavi di crittografia gestite dal cliente dal servizio di gestione delle chiavi cloud con Cloud Volumes ONTAP. |
- compute.instances.setServiceAccount |
Per impostare un account di servizio sull'istanza di Cloud Volumes ONTAP. Questo account di servizio fornisce le autorizzazioni per il tiering dei dati a un bucket di storage Google Cloud. |
- compute.addresses.list |
Recuperare gli indirizzi in una regione durante l'implementazione di una coppia ha. |
- Compute.backendServices.create |
Per configurare un servizio back-end per la distribuzione del traffico in una coppia ha. |
- compute.networks.updatePolicy |
Per applicare le regole del firewall ai VPC e alle subnet per una coppia ha. |
- compute.subnetworks.use |
Per attivare la classificazione BlueXP. |
- container.cluster.get |
Per scoprire i cluster Kubernetes in esecuzione in Google Kubernetes Engine. |
- compute.instanceGroups.get |
Per creare e gestire le VM di storage su coppie Cloud Volumes ONTAP ha. |
- Monitoring.timeseries.list |
Per scoprire informazioni sui bucket di storage di Google Cloud. |
- Cloudkms.cryptKeys.get |
Per selezionare le proprie chiavi gestite dal cliente nella procedura guidata di attivazione del backup e ripristino BlueXP invece di utilizzare le chiavi di crittografia predefinite gestite da Google. |
Registro delle modifiche
Man mano che le autorizzazioni vengono aggiunte e rimosse, le annoteremo nelle sezioni seguenti.
6 febbraio 2023
La seguente autorizzazione è stata aggiunta a questo criterio:
-
compute.instances.updateNetworkInterface
Questa autorizzazione è richiesta per Cloud Volumes ONTAP.
27 gennaio 2023
Al criterio sono state aggiunte le seguenti autorizzazioni:
-
Cloudkms.cryptKeys.getIamPolicy
-
cloudkms.cryptoKeys.setIamPolicy
-
Cloudkms.keyrings.get
-
Cloudkms.keyrings.getIamPolicy
-
cloudkms.keyRings.setIamPolicy
Queste autorizzazioni sono necessarie per il backup e il ripristino di BlueXP.