日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Connector の Google Cloud 権限

09/08/2023 共同作成者

PDF

BlueXPには、Google Cloudでアクションを実行するための権限が必要です。これらの権限は、ネットアップが提供するカスタムロールに含まれています。これらの権限でBlueXPが何を実行するのかを理解しておくとよいでしょう。

サービスアカウントの権限

次のカスタムロールは、ConnectorがGoogle Cloudネットワーク内のリソースとプロセスを管理するために必要な権限を提供します。

このカスタムロールは、Connector VMに関連付けられているサービスアカウントに適用する必要があります。

また、新しい権限が以降のリリースで追加されるときに、ロールが最新の状態であることを確認する必要があります。

title: NetApp BlueXP
description: Permissions for the service account associated with the Connector instance.
stage: GA
includedPermissions:
- iam.serviceAccounts.actAs
- compute.regionBackendServices.create
- compute.regionBackendServices.get
- compute.regionBackendServices.list
- compute.networks.updatePolicy
- compute.backendServices.create
- compute.addresses.list
- compute.disks.create
- compute.disks.createSnapshot
- compute.disks.delete
- compute.disks.get
- compute.disks.list
- compute.disks.setLabels
- compute.disks.use
- compute.firewalls.create
- compute.firewalls.delete
- compute.firewalls.get
- compute.firewalls.list
- compute.globalOperations.get
- compute.images.get
- compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly
- compute.instances.addAccessConfig
- compute.instances.attachDisk
- compute.instances.create
- compute.instances.delete
- compute.instances.detachDisk
- compute.instances.get
- compute.instances.getSerialPortOutput
- compute.instances.list
- compute.instances.setDeletionProtection
- compute.instances.setLabels
- compute.instances.setMachineType
- compute.instances.setMetadata
- compute.instances.setTags
- compute.instances.start
- compute.instances.stop
- compute.instances.updateDisplayDevice
- compute.instanceGroups.get
- compute.addresses.get
- compute.instances.updateNetworkInterface
- compute.machineTypes.get
- compute.networks.get
- compute.networks.list
- compute.projects.get
- compute.regions.get
- compute.regions.list
- compute.snapshots.create
- compute.snapshots.delete
- compute.snapshots.get
- compute.snapshots.list
- compute.snapshots.setLabels
- compute.subnetworks.get
- compute.subnetworks.list
- compute.subnetworks.use
- compute.subnetworks.useExternalIp
- compute.zoneOperations.get
- compute.zones.get
- compute.zones.list
- compute.instances.setServiceAccount
- deploymentmanager.compositeTypes.get
- deploymentmanager.compositeTypes.list
- deploymentmanager.deployments.create
- deploymentmanager.deployments.delete
- deploymentmanager.deployments.get
- deploymentmanager.deployments.list
- deploymentmanager.manifests.get
- deploymentmanager.manifests.list
- deploymentmanager.operations.get
- deploymentmanager.operations.list
- deploymentmanager.resources.get
- deploymentmanager.resources.list
- deploymentmanager.typeProviders.get
- deploymentmanager.typeProviders.list
- deploymentmanager.types.get
- deploymentmanager.types.list
- logging.logEntries.list
- logging.privateLogEntries.list
- resourcemanager.projects.get
- storage.buckets.create
- storage.buckets.delete
- storage.buckets.get
- storage.buckets.list
- cloudkms.cryptoKeyVersions.useToEncrypt
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list
- storage.buckets.update
- iam.serviceAccounts.getIamPolicy
- iam.serviceAccounts.list
- storage.objects.get
- storage.objects.list
- monitoring.timeSeries.list
- storage.buckets.getIamPolicy
- cloudkms.cryptoKeys.getIamPolicy
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.get
- cloudkms.keyRings.getIamPolicy
- cloudkms.keyRings.setIamPolicy

Google Cloud権限の使用方法

アクション	目的
- compute.disks.create - compute.disks.createsnapshot - compute.disks.delete -コンピューティング、ディスク、取得 - compute.disksリスト - compute.disks.setLabels - compute.disks.us	Cloud Volumes ONTAP 用のディスクを作成および管理します。
- compute.firewalls.create - compute.firewalls.delete -コンピューティング、ファイアウォール、取得 - compute.firewalls.list	Cloud Volumes ONTAP のファイアウォールルールを作成します。
-computer.globalOperationsGet	処理のステータスを確認できます。
-計算画像取得 - compute.images.getFromFamily - compute.images.list - compute.images.useReadOnly	VM インスタンスのイメージを取得します。
- compute.instances.attachDisk - compute.instances.detachDisk	ディスクを Cloud Volumes ONTAP に接続して接続解除します。
- compute.instances.create - compute.instances.delete	Cloud Volumes ONTAP VM インスタンスを作成および削除します。
- compute.instances.get	VM インスタンスを一覧表示します。
- compute.instances.getSerialPortOutput	をクリックしてコンソールログを取得してください
- compute.instances.list	ゾーン内のインスタンスのリストを取得します。
- compute.instances.setDeletionProtection	インスタンスに削除保護を設定します。
- compute.instances.setLabels	ラベルを追加します。
- compute.instances.setMachineType - compute.instances.setMinCpuPlatform	Cloud Volumes ONTAP のマシンタイプを変更します。
- compute.instances.setMetadata	をクリックしてください。
- compute.instances.setTags	ファイアウォールルールのタグを追加します。
- compute.instances.start - compute.instances.stop - compute.instances.updateDisplayDevice	Cloud Volumes ONTAP を開始および停止します。
-computesCompute .machineTypes.get	コア数を取得して qoutas をチェックしてください。
- compute.projects.get	複数のプロジェクトをサポートするため。
- compute.snapshots.create - compute.snapshots.delete -コンピュートスナップショット取得 - compute.snapshots.list - compute.snapshots.setLabels	永続ディスクスナップショットを作成および管理するには、次の手順に従います。
- compute.networks.get - compute.networks.list - compute.regions.get - compute.regions.list - compute.subnetworks.get - compute.subnetworks.list - compute.zoneOperations.get -コンピュートゾーン取得 - compute.zones.list	新しい Cloud Volumes ONTAP 仮想マシンインスタンスの作成に必要なネットワーク情報を取得するため。
- deploymentmanager.compositeTypes.get - deploymentmanager.compositeTypes.list - deploymentmanager.deployments.create - deploymentmanager.deployments.delete - deploymentmanager.deployments.get - deploymentmanager.deployments.list - deploymentmanager.manifests.get - deploymentmanager.manifests.list - deploymentmanager.operations.get - deploymentmanager.operations.list - deploymentmanager.resources.get - deploymentmanager.resources.list - deploymentmanager.typeProviders.get - deploymentmanager.typeProviders.list - deploymentmanager.types.get - deploymentmanager.types.list	Google Cloud Deployment Manager を使用して Cloud Volumes ONTAP 仮想マシンインスタンスを導入します。
-logging.logEntries.list -logging.privateLogEntries.list	スタックログドライブを取得する方法
- resourcemanager.projects.get	複数のプロジェクトをサポートするため。
-storage.buckets.create - storage.buckets.delete -ストレージ、バケツ、取得します -storage.buckets.list -storage.buckets.update	Google Cloud Storage バケットを作成して管理し、データを階層化します。
- cloudkms.cryptoKeyVersions.useToEncrypt - cloudkms.cryptoKeys.get - cloudkms.cryptoKeys.list - cloudkms.keyrings.list	Cloud Volumes ONTAP でクラウドキー管理サービスからお客様が管理する暗号化キーを使用するため。
- compute.instances.setServiceAccount - iam.serviceAccounts.actAs - iam.serviceAccounts.getIamPolicy - iam.serviceAccounts.list -storage.objects.get -storage.objects.list	Cloud Volumes ONTAP インスタンスにサービスアカウントを設定します。このサービスアカウントは、 Google Cloud Storage バケットへのデータ階層化の権限を提供します。
-compute-addresslist	HAペアを導入する際にリージョン内のアドレスを取得する。
-compute.backendServices.create -compute.regionBackendServices.create -compute.regionBackendServices.get -compute.regionBackendServices.list	HAペアでトラフィックを分散するためのバックエンドサービスを設定するには、次の手順を実行します。
- compute.networks.updatePolicy	HAペアのVPCおよびサブネットにファイアウォールルールを適用する。
- compute.subnetworks.us - compute.subnetworks.useExternalIp - compute.instances.addAccessConfig	してBlueXPの分類を有効にします。
-container.clusters.get -container.clusters.list	Google Kubernetes Engine で実行されている Kubernetes クラスタを検出する。
- compute.instanceGroups.get -計算アドレス取得 - compute.instances.updateNetworkInterface	Cloud Volumes ONTAP HAペアでStorage VMを作成および管理する方法。
- monitoring.timeseries.list -storage.buckets.getIamPolicy	をクリックして、Google Cloud Storageバケットに関する情報を確認してください。
- cloudkms.cryptoKeys.get - cloudkms.cryptoKeys.getIamPolicy - cloudkms.cryptoKeys.list - cloudkms.cryptoKeys.setIamPolicy - cloudkmsキーリング取得 - cloudkms.keyrings.getIamPolicy - cloudkms.keyrings.list - cloudkms.keyRings.setIamPolicy	Googleが管理するデフォルトの暗号化キーを使用する代わりに、BlueXPのバックアップとリカバリのアクティブ化ウィザードでお客様が管理する独自のキーを選択します。

アクション

目的

- compute.disks.create
- compute.disks.createsnapshot
- compute.disks.delete
-コンピューティング、ディスク、取得
- compute.disksリスト
- compute.disks.setLabels
- compute.disks.us

Cloud Volumes ONTAP 用のディスクを作成および管理します。

- compute.firewalls.create
- compute.firewalls.delete
-コンピューティング、ファイアウォール、取得
- compute.firewalls.list

Cloud Volumes ONTAP のファイアウォールルールを作成します。

-computer.globalOperationsGet

処理のステータスを確認できます。

-計算画像取得
- compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly

VM インスタンスのイメージを取得します。

- compute.instances.attachDisk
- compute.instances.detachDisk

ディスクを Cloud Volumes ONTAP に接続して接続解除します。

- compute.instances.create
- compute.instances.delete

Cloud Volumes ONTAP VM インスタンスを作成および削除します。

- compute.instances.get

VM インスタンスを一覧表示します。

- compute.instances.getSerialPortOutput

をクリックしてコンソールログを取得してください

- compute.instances.list

ゾーン内のインスタンスのリストを取得します。

- compute.instances.setDeletionProtection

インスタンスに削除保護を設定します。

- compute.instances.setLabels

ラベルを追加します。

- compute.instances.setMachineType
- compute.instances.setMinCpuPlatform

Cloud Volumes ONTAP のマシンタイプを変更します。

- compute.instances.setMetadata

をクリックしてください。

- compute.instances.setTags

ファイアウォールルールのタグを追加します。

- compute.instances.start
- compute.instances.stop
- compute.instances.updateDisplayDevice

Cloud Volumes ONTAP を開始および停止します。

-computesCompute .machineTypes.get

コア数を取得して qoutas をチェックしてください。

- compute.projects.get

複数のプロジェクトをサポートするため。

- compute.snapshots.create
- compute.snapshots.delete
-コンピュートスナップショット取得
- compute.snapshots.list
- compute.snapshots.setLabels

永続ディスクスナップショットを作成および管理するには、次の手順に従います。

- compute.networks.get
- compute.networks.list
- compute.regions.get
- compute.regions.list
- compute.subnetworks.get
- compute.subnetworks.list
- compute.zoneOperations.get
-コンピュートゾーン取得
- compute.zones.list

新しい Cloud Volumes ONTAP 仮想マシンインスタンスの作成に必要なネットワーク情報を取得するため。

- deploymentmanager.compositeTypes.get
- deploymentmanager.compositeTypes.list
- deploymentmanager.deployments.create
- deploymentmanager.deployments.delete
- deploymentmanager.deployments.get
- deploymentmanager.deployments.list
- deploymentmanager.manifests.get
- deploymentmanager.manifests.list
- deploymentmanager.operations.get
- deploymentmanager.operations.list
- deploymentmanager.resources.get
- deploymentmanager.resources.list
- deploymentmanager.typeProviders.get
- deploymentmanager.typeProviders.list
- deploymentmanager.types.get
- deploymentmanager.types.list

Google Cloud Deployment Manager を使用して Cloud Volumes ONTAP 仮想マシンインスタンスを導入します。

-logging.logEntries.list
-logging.privateLogEntries.list

スタックログドライブを取得する方法

- resourcemanager.projects.get

複数のプロジェクトをサポートするため。

-storage.buckets.create
- storage.buckets.delete
-ストレージ、バケツ、取得します
-storage.buckets.list
-storage.buckets.update

Google Cloud Storage バケットを作成して管理し、データを階層化します。

- cloudkms.cryptoKeyVersions.useToEncrypt
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyrings.list

Cloud Volumes ONTAP でクラウドキー管理サービスからお客様が管理する暗号化キーを使用するため。

- compute.instances.setServiceAccount
- iam.serviceAccounts.actAs
- iam.serviceAccounts.getIamPolicy
- iam.serviceAccounts.list
-storage.objects.get
-storage.objects.list

Cloud Volumes ONTAP インスタンスにサービスアカウントを設定します。このサービスアカウントは、 Google Cloud Storage バケットへのデータ階層化の権限を提供します。

-compute-addresslist

HAペアを導入する際にリージョン内のアドレスを取得する。

-compute.backendServices.create
-compute.regionBackendServices.create
-compute.regionBackendServices.get
-compute.regionBackendServices.list

HAペアでトラフィックを分散するためのバックエンドサービスを設定するには、次の手順を実行します。

- compute.networks.updatePolicy

HAペアのVPCおよびサブネットにファイアウォールルールを適用する。

- compute.subnetworks.us
- compute.subnetworks.useExternalIp
- compute.instances.addAccessConfig

してBlueXPの分類を有効にします。

-container.clusters.get
-container.clusters.list

Google Kubernetes Engine で実行されている Kubernetes クラスタを検出する。

- compute.instanceGroups.get
-計算アドレス取得
- compute.instances.updateNetworkInterface

Cloud Volumes ONTAP HAペアでStorage VMを作成および管理する方法。

- monitoring.timeseries.list
-storage.buckets.getIamPolicy

をクリックして、Google Cloud Storageバケットに関する情報を確認してください。

- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.getIamPolicy
- cloudkms.cryptoKeys.list
- cloudkms.cryptoKeys.setIamPolicy
- cloudkmsキーリング取得
- cloudkms.keyrings.getIamPolicy
- cloudkms.keyrings.list
- cloudkms.keyRings.setIamPolicy

Googleが管理するデフォルトの暗号化キーを使用する代わりに、BlueXPのバックアップとリカバリのアクティブ化ウィザードでお客様が管理する独自のキーを選択します。

変更ログ

権限が追加および削除されると、以下のセクションにそれらの権限が表示されます。

2023年2月6日

このポリシーには次の権限が追加されています：

compute.instances.updateNetworkInterface

この権限はCloud Volumes ONTAP に必要です。

2023年1月27日

ポリシーに追加された権限は次のとおりです。

Cloudkms.cryptoKeys.getIamPolicy
cloudkms.cryptoKeys.setIamPolicy
Cloudkms.keyrings.get
cloudks.keyrings.getIamPolicyを参照してください
cloudkms.keyRings.setIamPolicy

これらの権限はBlueXPのバックアップとリカバリに必要です。