Permissões do Google Cloud para o agente do Console
Sugerir alterações
PDFs
O agente do Console requer permissões para executar ações no Google Cloud. Essas permissões estão incluídas em uma função personalizada fornecida pela NetApp. Você deve entender o que o agente faz com essas permissões.
Permissões de conta de serviço
A função personalizada mostrada abaixo fornece as permissões que um agente do Console precisa para gerenciar recursos e processos na sua rede do Google Cloud.
Você precisará aplicar essa função personalizada a uma conta de serviço que será anexada à VM do agente do Console.
Você também precisa garantir que a função esteja atualizada, pois novas permissões são adicionadas em versões subsequentes. Se novas permissões forem necessárias, elas serão listadas nas notas de versão.
title: NetApp Console agent
description: Permissions for the service account associated with the Console agent.
stage: GA
includedPermissions:
- iam.serviceAccounts.actAs
- compute.regionBackendServices.create
- compute.regionBackendServices.get
- compute.regionBackendServices.list
- compute.networks.updatePolicy
- compute.backendServices.create
- compute.addresses.list
- compute.disks.create
- compute.disks.createSnapshot
- compute.disks.delete
- compute.disks.get
- compute.disks.list
- compute.disks.setLabels
- compute.disks.use
- compute.firewalls.create
- compute.firewalls.delete
- compute.firewalls.get
- compute.firewalls.list
- compute.globalOperations.get
- compute.images.get
- compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly
- compute.instances.addAccessConfig
- compute.instances.attachDisk
- compute.instances.create
- compute.instances.delete
- compute.instances.detachDisk
- compute.instances.get
- compute.instances.getSerialPortOutput
- compute.instances.list
- compute.instances.setDeletionProtection
- compute.instances.setLabels
- compute.instances.setMachineType
- compute.instances.setMetadata
- compute.instances.setTags
- compute.instances.start
- compute.instances.stop
- compute.instances.updateDisplayDevice
- compute.instanceGroups.get
- compute.addresses.get
- compute.instances.updateNetworkInterface
- compute.machineTypes.get
- compute.networks.get
- compute.networks.list
- compute.projects.get
- compute.regions.get
- compute.regions.list
- compute.snapshots.create
- compute.snapshots.delete
- compute.snapshots.get
- compute.snapshots.list
- compute.snapshots.setLabels
- compute.subnetworks.get
- compute.subnetworks.list
- compute.subnetworks.use
- compute.subnetworks.useExternalIp
- compute.zoneOperations.get
- compute.zones.get
- compute.zones.list
- compute.instances.setServiceAccount
- deploymentmanager.compositeTypes.get
- deploymentmanager.compositeTypes.list
- deploymentmanager.deployments.create
- deploymentmanager.deployments.delete
- deploymentmanager.deployments.get
- deploymentmanager.deployments.list
- deploymentmanager.manifests.get
- deploymentmanager.manifests.list
- deploymentmanager.operations.get
- deploymentmanager.operations.list
- deploymentmanager.resources.get
- deploymentmanager.resources.list
- deploymentmanager.typeProviders.get
- deploymentmanager.typeProviders.list
- deploymentmanager.types.get
- deploymentmanager.types.list
- logging.logEntries.list
- logging.privateLogEntries.list
- resourcemanager.projects.get
- storage.buckets.create
- storage.buckets.delete
- storage.buckets.get
- storage.buckets.list
- cloudkms.cryptoKeyVersions.useToEncrypt
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list
- storage.buckets.update
- iam.serviceAccounts.getIamPolicy
- iam.serviceAccounts.list
- storage.objects.get
- storage.objects.list
- monitoring.timeSeries.list
- storage.buckets.getIamPolicy
- cloudkms.cryptoKeys.getIamPolicy
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.get
- cloudkms.keyRings.getIamPolicy
- cloudkms.keyRings.setIamPolicyComo as permissões do Google Cloud são usadas
| Ações | Propósito | Usado para implantação? | Usado para operações diárias? | Usado para exclusão? |
|---|---|---|---|---|
compute.disks.create |
Para criar e gerenciar discos para Cloud Volumes ONTAP. |
Sim |
Sim |
Não |
compute.disks.createSnapshot |
Não |
Sim |
Não |
|
compute.disks.delete |
Não |
Sim |
Sim |
|
compute.disks.get |
Não |
Sim |
Não |
|
lista de discos de computação |
Sim |
Sim |
Não |
|
compute.disks.setLabels |
Sim |
Sim |
Não |
|
usar discos de computação |
Não |
Sim |
Não |
|
compute.firewalls.create |
Para criar regras de firewall para o Cloud Volumes ONTAP. |
Sim |
Não |
Não |
compute.firewalls.delete |
Não |
Sim |
Sim |
|
compute.firewalls.get |
Sim |
Sim |
Não |
|
lista de firewalls de computação |
Sim |
Sim |
Não |
|
compute.globalOperations.get . |
Para obter o status das operações. |
Sim |
Sim |
Não |
compute.images.get |
Para obter imagens para instâncias de VM. |
Sim |
Não |
Não |
compute.images.getFromFamily |
Sim |
Não |
Não |
|
calcular.imagens.lista |
Sim |
Não |
Não |
|
compute.images.useReadOnly |
Sim |
Não |
Não |
|
compute.instances.attachDisk |
Para anexar e desanexar discos ao Cloud Volumes ONTAP. |
Sim |
Sim |
Não |
compute.instances.detachDisk |
Não |
Sim |
Sim |
|
compute.instances.create |
Para criar e excluir instâncias de VM do Cloud Volumes ONTAP . |
Sim |
Não |
Não |
compute.instances.delete |
Não |
Não |
Sim |
|
compute.instances.get |
Para listar instâncias de VM. |
Sim |
Sim |
Não |
compute.instances.getSerialPortOutput |
Para obter logs do console. |
Sim |
Sim |
Não |
lista de instâncias de computação |
Para recuperar a lista de instâncias em uma zona. |
Sim |
Sim |
Não |
compute.instances.setDeletionProtection |
Para definir a proteção contra exclusão na instância. |
Sim |
Não |
Não |
compute.instances.setLabels |
Para adicionar rótulos. |
Sim |
Não |
Não |
compute.instances.setMachineType |
Para alterar o tipo de máquina do Cloud Volumes ONTAP. |
Sim |
Sim |
Não |
compute.instances.setMinCpuPlatform |
Sim |
Sim |
Não |
|
compute.instances.setMetadata |
Para adicionar metadados. |
Sim |
Sim |
Não |
compute.instances.setTags |
Para adicionar tags para regras de firewall. |
Sim |
Sim |
Não |
compute.instances.start |
Para iniciar e parar o Cloud Volumes ONTAP. |
Sim |
Sim |
Não |
compute.instances.stop |
Sim |
Sim |
Não |
|
compute.instances.updateDisplayDevice |
Sim |
Sim |
Não |
|
compute.machineTypes.get |
Para obter o número de núcleos e verificar as quotas. |
Sim |
Não |
Não |
compute.projects.get |
Para dar suporte a multiprojetos. |
Sim |
Não |
Não |
compute.snapshots.create |
Para criar e gerenciar instantâneos de disco persistentes. |
Sim |
Sim |
Não |
compute.snapshots.delete |
Não |
Sim |
Sim |
|
compute.snapshots.get |
Não |
Sim |
Não |
|
compute.snapshots.list |
Não |
Sim |
Não |
|
compute.snapshots.setLabels |
Sim |
Sim |
Não |
|
compute.networks.get |
Para obter as informações de rede necessárias para criar uma nova instância de máquina virtual do Cloud Volumes ONTAP . |
Sim |
Sim |
Não |
lista de redes computacionais |
Sim |
Sim |
Não |
|
compute.regions.get |
Sim |
Sim |
Não |
|
lista de regiões de computação |
Sim |
Sim |
Não |
|
compute.subnetworks.get |
Sim |
Sim |
Não |
|
lista de sub-redes de computação |
Sim |
Sim |
Não |
|
compute.zoneOperations.get |
Sim |
Sim |
Não |
|
compute.zones.get |
Sim |
Sim |
Não |
|
lista de zonas de computação |
Sim |
Sim |
Não |
|
deploymentmanager.compositeTypes.get |
Para implantar a instância da máquina virtual do Cloud Volumes ONTAP usando o Google Cloud Deployment Manager. |
Sim |
Não |
Não |
deploymentmanager.compositeTypes.list |
Sim |
Não |
Não |
|
deploymentmanager.deployments.create |
Sim |
Não |
Não |
|
deploymentmanager.deployments.delete |
Sim |
Não |
Não |
|
deploymentmanager.deployments.get |
Sim |
Não |
Não |
|
deploymentmanager.deployments.list |
Sim |
Não |
Não |
|
deploymentmanager.manifests.get |
Sim |
Não |
Não |
|
deploymentmanager.manifests.list |
Sim |
Não |
Não |
|
deploymentmanager.operations.get |
Sim |
Não |
Não |
|
lista de operações do gerenciador de implantação |
Sim |
Não |
Não |
|
deploymentmanager.resources.get |
Sim |
Não |
Não |
|
lista de recursos do gerenciador de implantação |
Sim |
Não |
Não |
|
deploymentmanager.typeProviders.get |
Sim |
Não |
Não |
|
deploymentmanager.typeProviders.list |
Sim |
Não |
Não |
|
deploymentmanager.types.get |
Sim |
Não |
Não |
|
lista de tipos do gerenciador de implantação |
Sim |
Não |
Não |
|
logging.logEntries.list |
Para obter unidades de log de pilha. |
Sim |
Sim |
Não |
logging.privateLogEntries.list |
Sim |
Sim |
Não |
|
resourcemanager.projects.get |
Para dar suporte a multiprojetos. |
Sim |
Sim |
Não |
armazenamento.buckets.create |
Para criar e gerenciar um bucket do Google Cloud Storage para hierarquização de dados. |
Sim |
Sim |
Não |
storage.buckets.delete |
Não |
Sim |
Sim |
|
storage.buckets.get |
Não |
Sim |
Não |
|
lista de buckets de armazenamento |
Não |
Sim |
Não |
|
armazenamento.buckets.atualizar |
Não |
Sim |
Não |
|
cloudkms.cryptoKeyVersions.useToEncrypt |
Para usar chaves de criptografia gerenciadas pelo cliente do Cloud Key Management Service com o Cloud Volumes ONTAP. |
Sim |
Sim |
Não |
cloudkms.cryptoKeys.get |
Sim |
Sim |
Não |
|
cloudkms.cryptoKeys.lista |
Sim |
Sim |
Não |
|
cloudkms.keyRings.lista |
Sim |
Sim |
Não |
|
compute.instances.setServiceAccount |
Para definir uma conta de serviço na instância do Cloud Volumes ONTAP . Esta conta de serviço fornece permissões para hierarquização de dados para um bucket do Google Cloud Storage. |
Sim |
Sim |
Não |
iam.serviceAccounts.actAs |
Sim |
Não |
Não |
|
iam.serviceAccounts.getIamPolicy |
Sim |
Sim |
Não |
|
iam.serviceAccounts.list |
Sim |
Sim |
Não |
|
armazenamento.objetos.obter |
Sim |
Sim |
Não |
|
lista de objetos de armazenamento |
Sim |
Sim |
Não |
|
lista de endereços de computação |
Para recuperar os endereços em uma região ao implantar um par HA. |
Sim |
Não |
Não |
compute.backendServices.create |
Para configurar um serviço de backend para distribuir tráfego em um par HA. |
Sim |
Não |
Não |
compute.regionBackendServices.create |
Sim |
Não |
Não |
|
compute.regionBackendServices.get |
Sim |
Não |
Não |
|
compute.regionBackendServices.list |
Sim |
Não |
Não |
|
compute.networks.updatePolicy |
Para aplicar regras de firewall nas VPCs e sub-redes para um par HA. |
Sim |
Não |
Não |
compute.instanceGroups.get |
Para criar e gerenciar VMs de armazenamento em pares Cloud Volumes ONTAP HA. |
Sim |
Sim |
Não |
compute.addresses.get |
Sim |
Sim |
Não |
|
computar.instâncias.atualizarInterface de Rede |
Sim |
Sim |
Não |
|
monitoramento.séries.temporais.lista |
Para descobrir informações sobre os buckets do Google Cloud Storage. |
Sim |
Sim |
Não |
storage.buckets.getIamPolicy |
Sim |
Sim |
Não |
Permissões usadas para o NetApp Backup and Recovery
Ações |
Propósito |
Usado para implantação? |
Usado para operações diárias? |
Usado para exclusão? |
|
Para selecionar suas próprias chaves gerenciadas pelo cliente no assistente de ativação do NetApp Backup and Recovery em vez de usar as chaves de criptografia padrão gerenciadas pelo Google. |
Sim |
Sim |
Não |
Permissões usadas para a NetApp Data Classification
Ações |
Propósito |
Usado para implantação? |
Usado para operações diárias? |
Usado para exclusão? |
|
Para habilitar a NetApp Data Classification. |
Sim |
Não |
Não |
Registro de alterações
Conforme as permissões forem adicionadas e removidas, elas serão anotadas nas seções abaixo.
2025-11-26
As permissões foram atualizadas para maior clareza sobre seu uso, mas nenhuma permissão foi adicionada ou removida. Foram adicionadas três colunas para indicar se cada permissão é usada para implantação, operações diárias ou exclusão. Além disso, algumas permissões são segregadas com base em seu uso para NetApp Data Classification e NetApp Backup and Recovery.
2023-02-06
A seguinte permissão foi adicionada a esta política:
-
computar.instâncias.atualizarInterface de Rede
Esta permissão é necessária para o Cloud Volumes ONTAP.
2023-01-27
As seguintes permissões foram adicionadas à política:
-
cloudkms.cryptoKeys.getIamPolicy
-
cloudkms.cryptoKeys.setIamPolicy
-
cloudkms.keyRings.obter
-
cloudkms.keyRings.getIamPolicy
-
cloudkms.keyRings.setIamPolicy
Essas permissões são necessárias para o NetApp Backup and Recovery.