Skip to main content
BlueXP setup and administration
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Permissões do Google Cloud para o conetor

Colaboradores
PDFs

O BlueXP  requer permissões para executar ações no Google Cloud. Essas permissões estão incluídas em uma função personalizada fornecida pelo NetApp. Você pode querer entender o que o BlueXP  faz com essas permissões.

Permissões da conta de serviço

A função personalizada mostrada abaixo fornece as permissões que um conetor precisa para gerenciar recursos e processos em sua rede do Google Cloud.

Você precisará aplicar essa função personalizada a uma conta de serviço que seja anexada à VM Connector.

Você também precisa garantir que a função esteja atualizada à medida que novas permissões são adicionadas em versões subsequentes. Se novas permissões forem necessárias, elas serão listadas nas notas de versão.

title: NetApp BlueXP
description: Permissions for the service account associated with the Connector instance.
stage: GA
includedPermissions:
- iam.serviceAccounts.actAs
- compute.regionBackendServices.create
- compute.regionBackendServices.get
- compute.regionBackendServices.list
- compute.networks.updatePolicy
- compute.backendServices.create
- compute.addresses.list
- compute.disks.create
- compute.disks.createSnapshot
- compute.disks.delete
- compute.disks.get
- compute.disks.list
- compute.disks.setLabels
- compute.disks.use
- compute.firewalls.create
- compute.firewalls.delete
- compute.firewalls.get
- compute.firewalls.list
- compute.globalOperations.get
- compute.images.get
- compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly
- compute.instances.addAccessConfig
- compute.instances.attachDisk
- compute.instances.create
- compute.instances.delete
- compute.instances.detachDisk
- compute.instances.get
- compute.instances.getSerialPortOutput
- compute.instances.list
- compute.instances.setDeletionProtection
- compute.instances.setLabels
- compute.instances.setMachineType
- compute.instances.setMetadata
- compute.instances.setTags
- compute.instances.start
- compute.instances.stop
- compute.instances.updateDisplayDevice
- compute.instanceGroups.get
- compute.addresses.get
- compute.instances.updateNetworkInterface
- compute.machineTypes.get
- compute.networks.get
- compute.networks.list
- compute.projects.get
- compute.regions.get
- compute.regions.list
- compute.snapshots.create
- compute.snapshots.delete
- compute.snapshots.get
- compute.snapshots.list
- compute.snapshots.setLabels
- compute.subnetworks.get
- compute.subnetworks.list
- compute.subnetworks.use
- compute.subnetworks.useExternalIp
- compute.zoneOperations.get
- compute.zones.get
- compute.zones.list
- compute.instances.setServiceAccount
- deploymentmanager.compositeTypes.get
- deploymentmanager.compositeTypes.list
- deploymentmanager.deployments.create
- deploymentmanager.deployments.delete
- deploymentmanager.deployments.get
- deploymentmanager.deployments.list
- deploymentmanager.manifests.get
- deploymentmanager.manifests.list
- deploymentmanager.operations.get
- deploymentmanager.operations.list
- deploymentmanager.resources.get
- deploymentmanager.resources.list
- deploymentmanager.typeProviders.get
- deploymentmanager.typeProviders.list
- deploymentmanager.types.get
- deploymentmanager.types.list
- logging.logEntries.list
- logging.privateLogEntries.list
- resourcemanager.projects.get
- storage.buckets.create
- storage.buckets.delete
- storage.buckets.get
- storage.buckets.list
- cloudkms.cryptoKeyVersions.useToEncrypt
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list
- storage.buckets.update
- iam.serviceAccounts.getIamPolicy
- iam.serviceAccounts.list
- storage.objects.get
- storage.objects.list
- monitoring.timeSeries.list
- storage.buckets.getIamPolicy
- cloudkms.cryptoKeys.getIamPolicy
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.get
- cloudkms.keyRings.getIamPolicy
- cloudkms.keyRings.setIamPolicy

Como as permissões do Google Cloud são usadas

Ações Finalidade

- Compute.disks.create - Compute.disks.createSnapshot - compute.disks.delete - Compute.disks.get - Compute.disks.list - compute.disks.setLabels - compute.disks.use.

Para criar e gerenciar discos para Cloud Volumes ONTAP.

- compute.firewalls.create - compute.firewalls.delete - compute.firewalls.get - compute.firewalls.list

Para criar regras de firewall para o Cloud Volumes ONTAP.

- Compute.globalOperations.get

Para obter o status das operações.

- Compute.images.get - Compute.images.getFromFamily - Compute.images.list - compute.images.useReadOnly

Para obter imagens para instâncias de VM.

- compute.instances.attachDisk - compute.instances.detachDisk

Para anexar e desanexar discos ao Cloud Volumes ONTAP.

- compute.instances.create - compute.instances.delete

Para criar e excluir instâncias de VM do Cloud Volumes ONTAP.

- compute.instances.get

Para listar instâncias de VM.

- compute.instances.getSerialPortOutput

Para obter logs de console.

- compute.instances.list

Para recuperar a lista de instâncias em uma zona.

- compute.instances.setDeletionProtection

Para definir a proteção de exclusão na instância.

- compute.instances.setLabels

Para adicionar etiquetas.

- compute.instances.setMachineType - compute.instances.setMinCpuPlatform

Para alterar o tipo de máquina para Cloud Volumes ONTAP.

- compute.instances.setMetadata

Para adicionar metadados.

- compute.instances.setTags

Para adicionar etiquetas para regras de firewall.

- compute.instances.start - compute.instances.stop - compute.instances.updateDisplayDevice

Para iniciar e parar o Cloud Volumes ONTAP.

- Compute.machineTypes.get

Para obter os números de núcleos para verificar qoutas.

- compute.projects.get

Para apoiar multi-projetos.

- Compute.snapshots.create - compute.snapshots.delete - Compute.snapshots.get - Compute.snapshots.list - compute.snapshots.setLabels

Para criar e gerenciar snapshots persistentes em disco.

- compute.networks.get - compute.networks.list - Compute.regions.get - Compute.regions.list - Compute.subnetworks.get - Compute.subnetworks.list - Compute.zoneOperations.get - Compute.zones.get - Compute.zones.list

Para obter as informações de rede necessárias para criar uma nova instância de máquina virtual Cloud Volumes ONTAP.

- deploymentmanager.compositeTypes.get - deploymentmanager.compositeTypes.list - deploymentmanager.deployments.create - deploymentmanager.deployments.delete - deploymentmanager.deployments.get - deploymentmanager.deployments.list - deploymentmanager.manifests.get - deploymentmanager.manifests.list - deploymentmanager.operations.get - deploymentmanager.operations.list

Para implantar a instância de máquina virtual do Cloud Volumes ONTAP usando o Gerenciador de implantação do Google Cloud.

- LogEntries.list - logging.privateLogEntries.list

Para obter unidades de log de pilha.

- resourcemanager.projects.get

Para apoiar multi-projetos.

- storage.buckets.create - storage.buckets.delete - storage.buckets.get - storage.buckets.list - storage.buckets.update

Para criar e gerenciar um bucket do Google Cloud Storage para categorização de dados.

- cloudkms.cryptoKeyVersions.useToEncrypt - cloudkms.cryptoKeys.get - cloudkms.cryptoKeys.list - cloudkms.keyrings.list

Para usar chaves de criptografia gerenciadas pelo cliente a partir do Serviço de gerenciamento de chaves na nuvem com o Cloud Volumes ONTAP.

- compute.instances.setServiceAccount - iam.serviceAccounts.actAs - iam.serviceAccounts.getIamPolicy - iam.serviceAccounts.list - storage.objects.get - storage.objects.list

Para definir uma conta de serviço na instância do Cloud Volumes ONTAP. Essa conta de serviço fornece permissões para categorização de dados em um bucket do Google Cloud Storage.

- compute.addresses.list

Para recuperar os endereços em uma região ao implantar um par de HA.

- Compute.backendServices.create - Compute.regionBackendServices.create - Compute.regionBackendServices.get - Compute.regionBackendServices.list

Para configurar um serviço de back-end para distribuir tráfego em um par de HA.

- compute.networks.updatePolicy

Para aplicar regras de firewall nos VPCs e sub-redes para um par de HA.

- compute.subnetworks.use - compute.subnetworks.useExternalIp - compute.instances.addAccessConfig

Para ativar a classificação BlueXP .

- compute.instanceGroups.get - Compute.Addresses.get - compute.instances.updateNetworkInterface

Para criar e gerenciar VMs de storage em pares de HA do Cloud Volumes ONTAP.

- Monitoring.timeseries.list - storage.buckets.getIamPolicy

Para descobrir informações sobre os buckets do Google Cloud Storage.

- Cloudkms.cryptoKeys.get - cloudkms.cryptoKeys.getIamPolicy - cloudkms.cryptoKeys.list - cloudkms.cryptoKeys.setIamPolicy - cloudkms.keyrings.get - cloudkms.keyrings.getIamPolicy - cloudkms.keyrings.list - cloudkms.keyRings.setIamPolicy

Para selecionar suas próprias chaves gerenciadas pelo cliente no assistente de ativação de backup e recuperação do BlueXP  em vez de usar as chaves de criptografia gerenciadas pelo Google padrão.

Alterar registo

À medida que as permissões são adicionadas e removidas, vamos anotá-las nas seções abaixo.

6 de fevereiro de 2023

A seguinte permissão foi adicionada a esta política:

  • compute.instances.updateNetworkInterface

Esta permissão é necessária para o Cloud Volumes ONTAP.

27 de janeiro de 2023

As seguintes permissões foram adicionadas à política:

  • Cloudkms.cryptoKeys.getIamPolicy

  • cloudkms.cryptoKeys.setIamPolicy

  • Cloudkms.keyrings.get

  • Cloudkms.keyrings.getIamPolicy

  • cloudkms.keyRings.setIamPolicy

Essas permissões são necessárias para backup e recuperação do BlueXP .