Skip to main content
NetApp Console setup and administration
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Permissões do Google Cloud para o agente do Console

Colaboradores netapp-tonias
PDFs

O NetApp Console requer permissões para executar ações no Google Cloud. Essas permissões estão incluídas em uma função personalizada fornecida pela NetApp. Você deve entender o que o agente faz com essas permissões.

Permissões de conta de serviço

A função personalizada mostrada abaixo fornece as permissões que um agente do Console precisa para gerenciar recursos e processos na sua rede do Google Cloud.

Você precisará aplicar essa função personalizada a uma conta de serviço que será anexada à VM do agente do Console.

Você também precisa garantir que a função esteja atualizada, pois novas permissões são adicionadas em versões subsequentes. Se novas permissões forem necessárias, elas serão listadas nas notas de versão.

title: NetApp Console agent
description: Permissions for the service account associated with the Console agent instance.
stage: GA
includedPermissions:
- iam.serviceAccounts.actAs
- compute.regionBackendServices.create
- compute.regionBackendServices.get
- compute.regionBackendServices.list
- compute.networks.updatePolicy
- compute.backendServices.create
- compute.addresses.list
- compute.disks.create
- compute.disks.createSnapshot
- compute.disks.delete
- compute.disks.get
- compute.disks.list
- compute.disks.setLabels
- compute.disks.use
- compute.firewalls.create
- compute.firewalls.delete
- compute.firewalls.get
- compute.firewalls.list
- compute.globalOperations.get
- compute.images.get
- compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly
- compute.instances.addAccessConfig
- compute.instances.attachDisk
- compute.instances.create
- compute.instances.delete
- compute.instances.detachDisk
- compute.instances.get
- compute.instances.getSerialPortOutput
- compute.instances.list
- compute.instances.setDeletionProtection
- compute.instances.setLabels
- compute.instances.setMachineType
- compute.instances.setMetadata
- compute.instances.setTags
- compute.instances.start
- compute.instances.stop
- compute.instances.updateDisplayDevice
- compute.instanceGroups.get
- compute.addresses.get
- compute.instances.updateNetworkInterface
- compute.machineTypes.get
- compute.networks.get
- compute.networks.list
- compute.projects.get
- compute.regions.get
- compute.regions.list
- compute.snapshots.create
- compute.snapshots.delete
- compute.snapshots.get
- compute.snapshots.list
- compute.snapshots.setLabels
- compute.subnetworks.get
- compute.subnetworks.list
- compute.subnetworks.use
- compute.subnetworks.useExternalIp
- compute.zoneOperations.get
- compute.zones.get
- compute.zones.list
- compute.instances.setServiceAccount
- deploymentmanager.compositeTypes.get
- deploymentmanager.compositeTypes.list
- deploymentmanager.deployments.create
- deploymentmanager.deployments.delete
- deploymentmanager.deployments.get
- deploymentmanager.deployments.list
- deploymentmanager.manifests.get
- deploymentmanager.manifests.list
- deploymentmanager.operations.get
- deploymentmanager.operations.list
- deploymentmanager.resources.get
- deploymentmanager.resources.list
- deploymentmanager.typeProviders.get
- deploymentmanager.typeProviders.list
- deploymentmanager.types.get
- deploymentmanager.types.list
- logging.logEntries.list
- logging.privateLogEntries.list
- resourcemanager.projects.get
- storage.buckets.create
- storage.buckets.delete
- storage.buckets.get
- storage.buckets.list
- cloudkms.cryptoKeyVersions.useToEncrypt
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list
- storage.buckets.update
- iam.serviceAccounts.getIamPolicy
- iam.serviceAccounts.list
- storage.objects.get
- storage.objects.list
- monitoring.timeSeries.list
- storage.buckets.getIamPolicy
- cloudkms.cryptoKeys.getIamPolicy
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.get
- cloudkms.keyRings.getIamPolicy
- cloudkms.keyRings.setIamPolicy

Como as permissões do Google Cloud são usadas

Ações Propósito

- compute.disks.create - compute.disks.createSnapshot - compute.disks.delete - compute.disks.get - compute.disks.list - compute.disks.setLabels - compute.disks.use

Para criar e gerenciar discos para Cloud Volumes ONTAP.

- computar.firewalls.criar - computar.firewalls.excluir - computar.firewalls.obter - computar.firewalls.listar

Para criar regras de firewall para o Cloud Volumes ONTAP.

- computar.globalOperations.get

Para obter o status das operações.

- compute.images.get - compute.images.getFromFamily - compute.images.list - compute.images.useReadOnly

Para obter imagens para instâncias de VM.

- compute.instances.attachDisk - compute.instances.detachDisk

Para anexar e desanexar discos ao Cloud Volumes ONTAP.

- computar.instâncias.criar - computar.instâncias.excluir

Para criar e excluir instâncias de VM do Cloud Volumes ONTAP .

- computar.instâncias.obter

Para listar instâncias de VM.

- compute.instances.getSerialPortOutput

Para obter logs do console.

- compute.instances.list

Para recuperar a lista de instâncias em uma zona.

- compute.instances.setDeletionProtection

Para definir a proteção contra exclusão na instância.

- compute.instances.setLabels

Para adicionar rótulos.

- compute.instances.setMachineType - compute.instances.setMinCpuPlatform

Para alterar o tipo de máquina do Cloud Volumes ONTAP.

- compute.instances.setMetadata

Para adicionar metadados.

- computar.instâncias.setTags

Para adicionar tags para regras de firewall.

- calcular.instâncias.iniciar - calcular.instâncias.parar - calcular.instâncias.atualizarDispositivoDeExibição

Para iniciar e parar o Cloud Volumes ONTAP.

- calcular.tiposdemáquina.obter

Para obter o número de núcleos para verificar cotas.

- computar.projetos.obter

Para dar suporte a multiprojetos.

- compute.snapshots.create - compute.snapshots.delete - compute.snapshots.get - compute.snapshots.list - compute.snapshots.setLabels

Para criar e gerenciar instantâneos de disco persistentes.

- compute.networks.get - compute.networks.list - compute.regions.get - compute.regions.list - compute.subnetworks.get - compute.subnetworks.list - compute.zoneOperations.get - compute.zones.get - compute.zones.list

Para obter as informações de rede necessárias para criar uma nova instância de máquina virtual do Cloud Volumes ONTAP .

- deploymentmanager.compositeTypes.get - deploymentmanager.compositeTypes.list - deploymentmanager.deployments.create - deploymentmanager.deployments.delete - deploymentmanager.deployments.get - deploymentmanager.deployments.list - deploymentmanager.manifests.get - deploymentmanager.manifests.list - deploymentmanager.operations.get - deploymentmanager.operations.list - deploymentmanager.resources.get - deploymentmanager.resources.list - deploymentmanager.typeProviders.get - deploymentmanager.typeProviders.list - deploymentmanager.types.get - deploymentmanager.types.list

Para implantar a instância da máquina virtual do Cloud Volumes ONTAP usando o Google Cloud Deployment Manager.

- logging.logEntries.list - logging.privateLogEntries.list

Para obter unidades de log de pilha.

- gerenciador de recursos.projetos.obter

Para dar suporte a multiprojetos.

- storage.buckets.create - storage.buckets.delete - storage.buckets.get - storage.buckets.list - storage.buckets.update

Para criar e gerenciar um bucket do Google Cloud Storage para hierarquização de dados.

- cloudkms.cryptoKeyVersions.useToEncrypt - cloudkms.cryptoKeys.get - cloudkms.cryptoKeys.list - cloudkms.keyRings.list

Para usar chaves de criptografia gerenciadas pelo cliente do Cloud Key Management Service com o Cloud Volumes ONTAP.

- compute.instances.setServiceAccount - iam.serviceAccounts.actAs - iam.serviceAccounts.getIamPolicy - iam.serviceAccounts.list - storage.objects.get - storage.objects.list

Para definir uma conta de serviço na instância do Cloud Volumes ONTAP . Esta conta de serviço fornece permissões para hierarquização de dados para um bucket do Google Cloud Storage.

- computar.endereços.lista

Para recuperar os endereços em uma região ao implantar um par HA.

- compute.backendServices.create - compute.regionBackendServices.create - compute.regionBackendServices.get - compute.regionBackendServices.list

Para configurar um serviço de backend para distribuir tráfego em um par HA.

- compute.networks.updatePolicy

Para aplicar regras de firewall nas VPCs e sub-redes para um par HA.

- compute.subnetworks.use - compute.subnetworks.useExternalIp - compute.instances.addAccessConfig

Para habilitar a classificação de dados do NetApp .

- compute.instanceGroups.get - compute.addresses.get - compute.instances.updateNetworkInterface

Para criar e gerenciar VMs de armazenamento em pares Cloud Volumes ONTAP HA.

- monitoramento.timeSeries.list - armazenamento.buckets.getIamPolicy

Para descobrir informações sobre os buckets do Google Cloud Storage.

- cloudkms.cryptoKeys.get - cloudkms.cryptoKeys.getIamPolicy - cloudkms.cryptoKeys.list - cloudkms.cryptoKeys.setIamPolicy - cloudkms.keyRings.get - cloudkms.keyRings.getIamPolicy - cloudkms.keyRings.list - cloudkms.keyRings.setIamPolicy

Para selecionar suas próprias chaves gerenciadas pelo cliente no assistente de ativação do NetApp Backup and Recovery em vez de usar as chaves de criptografia padrão gerenciadas pelo Google.

Registro de alterações

Conforme as permissões forem adicionadas e removidas, elas serão anotadas nas seções abaixo.

2023-02-06

A seguinte permissão foi adicionada a esta política:

  • computar.instâncias.atualizarInterface de Rede

Esta permissão é necessária para o Cloud Volumes ONTAP.

2023-01-27

As seguintes permissões foram adicionadas à política:

  • cloudkms.cryptoKeys.getIamPolicy

  • cloudkms.cryptoKeys.setIamPolicy

  • cloudkms.keyRings.obter

  • cloudkms.keyRings.getIamPolicy

  • cloudkms.keyRings.setIamPolicy

Essas permissões são necessárias para o NetApp Backup and Recovery.