コンソール エージェントの Google Cloud 権限
変更を提案
PDF
コンソール エージェントには、Google Cloud でアクションを実行するための権限が必要です。これらの権限は、 NetAppが提供するカスタム ロールに含まれています。エージェントがこれらの権限を使用して何を行うかを理解する必要があります。
サービスアカウントの権限
以下に示すカスタムロールは、コンソール エージェントが Google Cloud ネットワーク内のリソースとプロセスを管理するために必要な権限を提供します。
このカスタム ロールを、コンソール エージェント VM に接続されるサービス アカウントに適用する必要があります。
また、後続のリリースで新しい権限が追加された場合、ロールが最新であることを確認する必要があります。新しい権限が必要な場合は、リリース ノートに記載されます。
title: NetApp Console agent
description: Permissions for the service account associated with the Console agent.
stage: GA
includedPermissions:
- iam.serviceAccounts.actAs
- compute.regionBackendServices.create
- compute.regionBackendServices.get
- compute.regionBackendServices.list
- compute.networks.updatePolicy
- compute.backendServices.create
- compute.addresses.list
- compute.disks.create
- compute.disks.createSnapshot
- compute.disks.delete
- compute.disks.get
- compute.disks.list
- compute.disks.setLabels
- compute.disks.use
- compute.firewalls.create
- compute.firewalls.delete
- compute.firewalls.get
- compute.firewalls.list
- compute.globalOperations.get
- compute.images.get
- compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly
- compute.instances.addAccessConfig
- compute.instances.attachDisk
- compute.instances.create
- compute.instances.delete
- compute.instances.detachDisk
- compute.instances.get
- compute.instances.getSerialPortOutput
- compute.instances.list
- compute.instances.setDeletionProtection
- compute.instances.setLabels
- compute.instances.setMachineType
- compute.instances.setMetadata
- compute.instances.setTags
- compute.instances.start
- compute.instances.stop
- compute.instances.updateDisplayDevice
- compute.instanceGroups.get
- compute.addresses.get
- compute.instances.updateNetworkInterface
- compute.machineTypes.get
- compute.networks.get
- compute.networks.list
- compute.projects.get
- compute.regions.get
- compute.regions.list
- compute.snapshots.create
- compute.snapshots.delete
- compute.snapshots.get
- compute.snapshots.list
- compute.snapshots.setLabels
- compute.subnetworks.get
- compute.subnetworks.list
- compute.subnetworks.use
- compute.subnetworks.useExternalIp
- compute.zoneOperations.get
- compute.zones.get
- compute.zones.list
- compute.instances.setServiceAccount
- deploymentmanager.compositeTypes.get
- deploymentmanager.compositeTypes.list
- deploymentmanager.deployments.create
- deploymentmanager.deployments.delete
- deploymentmanager.deployments.get
- deploymentmanager.deployments.list
- deploymentmanager.manifests.get
- deploymentmanager.manifests.list
- deploymentmanager.operations.get
- deploymentmanager.operations.list
- deploymentmanager.resources.get
- deploymentmanager.resources.list
- deploymentmanager.typeProviders.get
- deploymentmanager.typeProviders.list
- deploymentmanager.types.get
- deploymentmanager.types.list
- logging.logEntries.list
- logging.privateLogEntries.list
- resourcemanager.projects.get
- storage.buckets.create
- storage.buckets.delete
- storage.buckets.get
- storage.buckets.list
- cloudkms.cryptoKeyVersions.useToEncrypt
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list
- storage.buckets.update
- iam.serviceAccounts.getIamPolicy
- iam.serviceAccounts.list
- storage.objects.get
- storage.objects.list
- monitoring.timeSeries.list
- storage.buckets.getIamPolicy
- cloudkms.cryptoKeys.getIamPolicy
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.get
- cloudkms.keyRings.getIamPolicy
- cloudkms.keyRings.setIamPolicyGoogle Cloud の権限の使用方法
| アクション | 目的 | 展開に使用されますか? | 日常業務に使用されますか? | 削除に使用されますか? |
|---|---|---|---|---|
コンピューティングディスクの作成 |
Cloud Volumes ONTAPのディスクを作成および管理します。 |
はい |
はい |
いいえ |
compute.disks.createSnapshot |
いいえ |
はい |
いいえ |
|
計算ディスク削除 |
いいえ |
はい |
はい |
|
compute.disks.get |
いいえ |
はい |
いいえ |
|
計算ディスクリスト |
はい |
はい |
いいえ |
|
compute.disks.setLabels |
はい |
はい |
いいえ |
|
計算ディスク使用 |
いいえ |
はい |
いいえ |
|
compute.firewalls.create |
Cloud Volumes ONTAPのファイアウォール ルールを作成します。 |
はい |
いいえ |
いいえ |
compute.firewalls.delete |
いいえ |
はい |
はい |
|
compute.firewalls.get |
はい |
はい |
いいえ |
|
compute.firewalls.list |
はい |
はい |
いいえ |
|
compute.globalOperations.get 。 |
操作のステータスを取得します。 |
はい |
はい |
いいえ |
計算画像取得 |
VM インスタンスのイメージを取得します。 |
はい |
いいえ |
いいえ |
compute.images.getFromFamily |
はい |
いいえ |
いいえ |
|
計算画像リスト |
はい |
いいえ |
いいえ |
|
compute.images.useReadOnly |
はい |
いいえ |
いいえ |
|
compute.instances.attachDisk |
Cloud Volumes ONTAPにディスクを接続および切断します。 |
はい |
はい |
いいえ |
compute.instances.detachDisk |
いいえ |
はい |
はい |
|
コンピューティングインスタンスの作成 |
Cloud Volumes ONTAP VMインスタンスを作成および削除します。 |
はい |
いいえ |
いいえ |
コンピューティングインスタンスの削除 |
いいえ |
いいえ |
はい |
|
コンピューティングインスタンスの取得 |
VM インスタンスを一覧表示します。 |
はい |
はい |
いいえ |
compute.instances.getSerialPortOutput |
コンソールログを取得します。 |
はい |
はい |
いいえ |
計算インスタンスリスト |
ゾーン内のインスタンスのリストを取得します。 |
はい |
はい |
いいえ |
compute.instances.setDeletionProtection |
インスタンスに削除保護を設定します。 |
はい |
いいえ |
いいえ |
compute.instances.setLabels |
ラベルを追加します。 |
はい |
いいえ |
いいえ |
compute.instances.setMachineType |
Cloud Volumes ONTAPのマシンタイプを変更します。 |
はい |
はい |
いいえ |
compute.instances.setMinCpuPlatform |
はい |
はい |
いいえ |
|
compute.instances.setMetadata |
メタデータを追加します。 |
はい |
はい |
いいえ |
compute.instances.setTags |
ファイアウォール ルールのタグを追加します。 |
はい |
はい |
いいえ |
コンピューティングインスタンスの開始 |
Cloud Volumes ONTAP を起動および停止します。 |
はい |
はい |
いいえ |
コンピューティングインスタンスの停止 |
はい |
はい |
いいえ |
|
compute.instances.updateDisplayDevice |
はい |
はい |
いいえ |
|
compute.machineTypes.get |
クォータを確認するためのコア数を取得します。 |
はい |
いいえ |
いいえ |
compute.projects.get |
複数のプロジェクトをサポートします。 |
はい |
いいえ |
いいえ |
計算スナップショット作成 |
永続ディスクのスナップショットを作成および管理します。 |
はい |
はい |
いいえ |
計算スナップショットの削除 |
いいえ |
はい |
はい |
|
compute.snapshots.get |
いいえ |
はい |
いいえ |
|
計算スナップショットリスト |
いいえ |
はい |
いいえ |
|
compute.snapshots.setLabels |
はい |
はい |
いいえ |
|
compute.networks.get |
新しいCloud Volumes ONTAP仮想マシンインスタンスを作成するために必要なネットワーク情報を取得します。 |
はい |
はい |
いいえ |
compute.networks.list |
はい |
はい |
いいえ |
|
compute.regions.get |
はい |
はい |
いいえ |
|
compute.regions.list |
はい |
はい |
いいえ |
|
compute.subnetworks.get |
はい |
はい |
いいえ |
|
compute.subnetworks.list |
はい |
はい |
いいえ |
|
compute.zoneOperations.get |
はい |
はい |
いいえ |
|
compute.zones.get |
はい |
はい |
いいえ |
|
compute.zones.list |
はい |
はい |
いいえ |
|
デプロイメントマネージャー.複合タイプ.get |
Google Cloud Deployment Manager を使用してCloud Volumes ONTAP仮想マシン インスタンスをデプロイします。 |
はい |
いいえ |
いいえ |
デプロイメントマネージャー.複合タイプ.リスト |
はい |
いいえ |
いいえ |
|
デプロイメントマネージャー.デプロイメント.作成 |
はい |
いいえ |
いいえ |
|
デプロイメントマネージャー.デプロイメント.削除 |
はい |
いいえ |
いいえ |
|
デプロイメントマネージャー.デプロイメント.取得 |
はい |
いいえ |
いいえ |
|
デプロイメントマネージャー.デプロイメントリスト |
はい |
いいえ |
いいえ |
|
デプロイメントマネージャーマニフェストの取得 |
はい |
いいえ |
いいえ |
|
デプロイメントマネージャーマニフェストリスト |
はい |
いいえ |
いいえ |
|
デプロイメントマネージャー.操作.取得 |
はい |
いいえ |
いいえ |
|
デプロイメントマネージャー操作リスト |
はい |
いいえ |
いいえ |
|
デプロイメントマネージャー.リソース.取得 |
はい |
いいえ |
いいえ |
|
デプロイメントマネージャー.リソース.リスト |
はい |
いいえ |
いいえ |
|
デプロイメントマネージャー.typeProviders.get |
はい |
いいえ |
いいえ |
|
デプロイメントマネージャー.typeProviders.リスト |
はい |
いいえ |
いいえ |
|
デプロイメントマネージャータイプ取得 |
はい |
いいえ |
いいえ |
|
デプロイメントマネージャータイプリスト |
はい |
いいえ |
いいえ |
|
ログ記録.logEntries.リスト |
スタック ログ ドライブを取得します。 |
はい |
はい |
いいえ |
ログ記録.privateLogEntries.リスト |
はい |
はい |
いいえ |
|
リソースマネージャー.プロジェクト.取得 |
複数のプロジェクトをサポートします。 |
はい |
はい |
いいえ |
ストレージバケットの作成 |
データ階層化用の Google Cloud Storage バケットを作成および管理します。 |
はい |
はい |
いいえ |
ストレージバケットの削除 |
いいえ |
はい |
はい |
|
ストレージバケットの取得 |
いいえ |
はい |
いいえ |
|
ストレージバケットリスト |
いいえ |
はい |
いいえ |
|
ストレージ.バケット.更新 |
いいえ |
はい |
いいえ |
|
cloudkms.cryptoKeyVersions.useToEncrypt |
Cloud Volumes ONTAPで Cloud Key Management Service の顧客管理暗号化キーを使用する。 |
はい |
はい |
いいえ |
cloudkms.cryptoKeys.get |
はい |
はい |
いいえ |
|
cloudkms.cryptoKeys.リスト |
はい |
はい |
いいえ |
|
cloudkms.keyRings.リスト |
はい |
はい |
いいえ |
|
compute.instances.setServiceAccount |
Cloud Volumes ONTAPインスタンスにサービス アカウントを設定します。このサービス アカウントは、Google Cloud Storage バケットへのデータ階層化の権限を付与します。 |
はい |
はい |
いいえ |
iam.serviceAccounts.actAs |
はい |
いいえ |
いいえ |
|
iam.serviceAccounts.getIamPolicy |
はい |
はい |
いいえ |
|
iam.serviceAccounts.list |
はい |
はい |
いいえ |
|
ストレージオブジェクト取得 |
はい |
はい |
いいえ |
|
ストレージオブジェクトリスト |
はい |
はい |
いいえ |
|
計算アドレスリスト |
HA ペアを展開するときにリージョン内のアドレスを取得します。 |
はい |
いいえ |
いいえ |
compute.backendServices.create |
HA ペアでトラフィックを分散するためのバックエンド サービスを設定します。 |
はい |
いいえ |
いいえ |
compute.regionBackendServices.create |
はい |
いいえ |
いいえ |
|
compute.regionBackendServices.get |
はい |
いいえ |
いいえ |
|
compute.regionBackendServices.リスト |
はい |
いいえ |
いいえ |
|
compute.networks.updatePolicy |
HA ペアの VPC とサブネットにファイアウォール ルールを適用します。 |
はい |
いいえ |
いいえ |
compute.instanceGroups.get |
Cloud Volumes ONTAP HA ペアでストレージ VM を作成および管理します。 |
はい |
はい |
いいえ |
計算アドレス取得 |
はい |
はい |
いいえ |
|
compute.instances.updateNetworkInterface |
はい |
はい |
いいえ |
|
監視.timeSeries.リスト |
Google Cloud Storage バケットに関する情報を検出します。 |
はい |
はい |
いいえ |
ストレージ.バケット.getIamPolicy |
はい |
はい |
いいえ |
NetApp Backup and Recoveryに使用される権限
アクション |
目的 |
展開に使用されますか? |
日常業務に使用されますか? |
削除に使用されますか? |
|
デフォルトの Google 管理暗号化キーを使用する代わりに、 NetApp Backup and Recoveryアクティベーション ウィザードで独自の顧客管理キーを選択します。 |
はい |
はい |
いいえ |
NetApp Data Classificationに使用される権限
アクション |
目的 |
展開に使用されますか? |
日常業務に使用されますか? |
削除に使用されますか? |
|
NetApp Data Classification を有効にします。 |
はい |
いいえ |
いいえ |
変更ログ
権限が追加または削除されると、以下のセクションでその旨を記録します。
2025/11/26
権限は使用法を明確にするために更新されていますが、権限の追加や削除は行われていません。各権限がデプロイメント、日常的な操作、または削除のいずれに使用されるかを示す 3 つの列が追加されます。これとは別に、 NetApp Data ClassificationおよびNetApp Backup and Recoveryでの使用に基づいて、いくつかの権限が分離されています。
2023/02/06
このポリシーに次の権限が追加されました:
-
compute.instances.updateNetworkInterface
この権限はCloud Volumes ONTAPに必要です。
2023/01/27
次の権限がポリシーに追加されました:
-
cloudkms.cryptoKeys.getIamPolicy
-
cloudkms.cryptoKeys.setIamPolicy
-
cloudkms.keyRings.get
-
cloudkms.keyRings.getIamPolicy
-
cloudkms.keyRings.setIamPolicy
これらの権限は、NetApp Backup and Recoveryに必要です。