简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

控制台代理的 Google Cloud 权限

12/11/2025 贡献者

PDF

控制台代理需要权限才能在 Google Cloud 中执行操作。这些权限包含在NetApp提供的自定义角色中。您应该了解代理使用这些权限做什么。

Google Cloud 用户帐户权限

以下自定义角色赋予 Google Cloud 用户部署代理所需的权限。将此自定义角色分配给将要部署代理的用户。

查看 Google Cloud 用户帐户权限

title: Console agent deployment policy
description: Permissions for the user who deploys the Console agent
stage: GA
includedPermissions:

- cloudbuild.builds.get
- compute.disks.create
- compute.disks.get
- compute.disks.list
- compute.disks.setLabels
- compute.disks.use
- compute.firewalls.create
- compute.firewalls.delete
- compute.firewalls.get
- compute.firewalls.list
- compute.globalOperations.get
- compute.images.get
- compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly
- compute.instances.attachDisk
- compute.instances.create
- compute.instances.get
- compute.instances.list
- compute.instances.setDeletionProtection
- compute.instances.setLabels
- compute.instances.setMachineType
- compute.instances.setMetadata
- compute.instances.setTags
- compute.instances.start
- compute.instances.updateDisplayDevice
- compute.machineTypes.get
- compute.networks.get
- compute.networks.list
- compute.networks.updatePolicy
- compute.projects.get
- compute.regions.get
- compute.regions.list
- compute.subnetworks.get
- compute.subnetworks.list
- compute.zoneOperations.get
- compute.zones.get
- compute.zones.list
- config.deployments.create
- config.operations.get
- config.deployments.delete
- config.deployments.deleteState
- config.deployments.get
- config.deployments.getState
- config.deployments.list
- config.deployments.update
- config.deployments.updateState
- config.previews.get
- config.previews.list
- config.revisions.get
- config.resources.list
- deploymentmanager.compositeTypes.get
- deploymentmanager.compositeTypes.list
- deploymentmanager.deployments.create
- deploymentmanager.deployments.delete
- deploymentmanager.deployments.get
- deploymentmanager.deployments.list
- deploymentmanager.manifests.get
- deploymentmanager.manifests.list
- deploymentmanager.operations.get
- deploymentmanager.operations.list
- deploymentmanager.resources.get
- deploymentmanager.resources.list
- deploymentmanager.typeProviders.get
- deploymentmanager.typeProviders.list
- deploymentmanager.types.get
- deploymentmanager.types.list
- resourcemanager.projects.get
- compute.instances.setServiceAccount
- iam.serviceAccounts.actAs
- iam.serviceAccounts.create
- iam.serviceAccounts.list
- iam.serviceAccountKeys.create
- storage.buckets.create
- storage.buckets.get
- storage.objects.create
- storage.folders.create
- storage.objects.list

服务帐户权限

以下自定义角色赋予附加到控制台代理的 Google Cloud 服务帐号管理 Google Cloud 网络中的资源和进程所需的权限。

将此自定义角色应用于附加到控制台代理虚拟机的服务帐户。

查看 Google 服务帐号权限

随着后续版本中权限的增加或删除，请确保角色信息保持最新。变更日志列出了所有需要的新权限。"查看 Google 权限变更日志" "查看如何添加 Google Cloud 服务帐号"

title: NetApp Console agent
description: Permissions for the service account associated with the Console agent.
stage: GA
includedPermissions:
- cloudbuild.builds.get
- cloudbuild.connections.list
- cloudbuild.repositories.accessReadToken
- cloudbuild.repositories.list
- cloudquotas.quotas.get
- cloudkms.cryptoKeys.getIamPolicy
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.get
- cloudkms.keyRings.getIamPolicy
- cloudkms.keyRings.setIamPolicy
- config.artifacts.import
- config.deployments.create
- config.deployments.delete
- config.deployments.deleteState
- config.deployments.get
- config.deployments.getLock
- config.deployments.getState
- config.deployments.update
- config.deployments.updateState
- config.previews.upload
- config.revisions.get
- config.revisions.getState
- config.deployments.getLock
- config.deployments.list
- config.deployments.lock
- config.operations.get
- config.previews.get
- config.previews.list
- config.resources.list
- compute.regionBackendServices.create
- compute.regionBackendServices.get
- compute.regionBackendServices.list
- compute.regionBackendServices.update
- compute.networks.updatePolicy
- compute.addresses.createInternal
- compute.addresses.deleteInternal
- compute.addresses.list
- compute.addresses.setLabels
- compute.addresses.useInternal
- compute.backendServices.create
- compute.disks.create
- compute.disks.createSnapshot
- compute.disks.delete
- compute.disks.get
- compute.disks.list
- compute.disks.setLabels
- compute.disks.use
- compute.firewalls.create
- compute.firewalls.delete
- compute.firewalls.get
- compute.firewalls.list
- compute.forwardingRules.create
- compute.forwardingRules.delete
- compute.forwardingRules.get
- compute.forwardingRules.setLabels
- compute.globalOperations.get
- compute.healthChecks.create
- compute.healthChecks.delete
- compute.healthChecks.get
- compute.healthChecks.useReadOnly
- compute.images.get
- compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly
- compute.instances.addAccessConfig
- compute.instances.attachDisk
- compute.instances.create
- compute.instances.delete
- compute.instances.detachDisk
- compute.instances.get
- compute.instances.getSerialPortOutput
- compute.instances.list
- compute.instances.setDeletionProtection
- compute.instances.setLabels
- compute.instances.setMachineType
- compute.instances.setMetadata
- compute.instances.setTags
- compute.instances.start
- compute.instances.stop
- compute.instances.updateDisplayDevice
- compute.instances.use
- compute.instanceGroups.create
- compute.instanceGroups.delete
- compute.instanceGroups.get
- compute.instanceGroups.update
- compute.instanceGroups.use
- compute.addresses.get
- compute.instances.updateNetworkInterface
- compute.instances.setMinCpuPlatform
- compute.machineTypes.get
- compute.networks.get
- compute.networks.list
- compute.projects.get
- compute.regions.get
- compute.regions.list
- compute.regionBackendServices.delete
- compute.regionBackendServices.use
- compute.resourcePolicies.create
- compute.resourcePolicies.delete
- compute.resourcePolicies.get
- compute.snapshots.create
- compute.snapshots.delete
- compute.snapshots.get
- compute.snapshots.list
- compute.snapshots.setLabels
- compute.subnetworks.get
- compute.subnetworks.list
- compute.subnetworks.use
- compute.subnetworks.useExternalIp
- compute.zoneOperations.get
- compute.zones.get
- compute.zones.list
- compute.instances.setServiceAccount
- deploymentmanager.compositeTypes.get
- deploymentmanager.compositeTypes.list
- deploymentmanager.deployments.create
- deploymentmanager.deployments.delete
- deploymentmanager.deployments.get
- deploymentmanager.deployments.list
- deploymentmanager.manifests.get
- deploymentmanager.manifests.list
- deploymentmanager.operations.get
- deploymentmanager.operations.list
- deploymentmanager.resources.get
- deploymentmanager.resources.list
- deploymentmanager.typeProviders.get
- deploymentmanager.typeProviders.list
- deploymentmanager.types.get
- deploymentmanager.types.list
- logging.logEntries.list
- logging.privateLogEntries.list
- logging.logEntries.create
- logging.logEntries.route
- monitoring.timeSeries.list
- resourcemanager.projects.get
- storage.buckets.create
- storage.buckets.delete
- storage.buckets.get
- storage.buckets.list
- storage.objects.create
- storage.objects.delete
- storage.objects.update
- cloudkms.cryptoKeyVersions.useToEncrypt
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list
- storage.buckets.update
- iam.serviceAccounts.actAs
- iam.serviceAccounts.create
- iam.serviceAccounts.get
- iam.serviceAccounts.getIamPolicy
- iam.serviceAccounts.list
- iam.serviceAccountKeys.create
- storage.objects.get
- storage.buckets.getIamPolicy

Google Cloud 权限的使用方式

控制台代理使用自定义角色中的权限来管理 Google Cloud 网络中的Cloud Volumes ONTAP资源和NetApp数据服务进程。以下各节描述了代理如何使用这些权限。

Cloud Volumes ONTAP使用的权限

控制台代理使用自定义角色中的权限来管理 Google Cloud 网络中的Cloud Volumes ONTAP资源和进程。以下各节描述了代理如何使用这些权限。

Cloud Volumes ONTAP的权限

操作	目的	用于部署？	用于日常运营？	用于删除？
config.deployments.create	使用 Google Cloud Infrastructure Manager 部署Cloud Volumes ONTAP虚拟机实例。	是	否	否
config.deployments.delete	否	否	是
config.deployments.deleteState	否	否	是
config.deployments.get	否	是	否
config.deployments.getLock	否	是	否
config.deployments.getState	否	是	否
config.deployments.list	否	是	否
config.deployments.lock	否	是	否
config.deployments.update	否	是	否
config.deployments.updateState	否	是	否
config.operations.get	否	是	否
config.previews.get	否	是	否
config.previews.list	否	是	否
config.resources.list	否	是	否
config.revisions.get	否	是	否
计算磁盘创建	为Cloud Volumes ONTAP创建和管理磁盘。	是	是	否
compute.disk.createSnapshot	否	是	否
计算磁盘删除	否	是	是
计算磁盘获取	否	是	否
计算磁盘列表	是	是	否
计算磁盘设置标签	是	是	否
计算磁盘使用	否	是	否
计算防火墙创建	为Cloud Volumes ONTAP创建防火墙规则。	是	否	否
计算防火墙删除	否	是	是
计算防火墙	是	是	否
计算防火墙列表	是	是	否
计算转发规则创建	创建转发规则，将流量路由到后端服务。	否	是	否
计算转发规则删除	删除现有转发规则。	否	是	否
计算转发规则	获取现有转发规则的详细信息。	否	是	否
计算转发规则.设置标签	设置或更新组织转发规则的标签。	否	是	否
compute.globalOperations.get	获取操作状态。	是	是	否
计算健康检查创建	创建和管理健康检查，以监控后端服务的运行状况。	否	是	否
compute.healthChecks.delete	否	是	否
compute.healthChecks.get	否	是	否
compute.healthChecks.useReadOnly	否	是	否
compute.images.get	获取虚拟机实例的图像。	是	否	否
compute.images.getFromFamily	是	否	否
计算图像列表	是	否	否
compute.images.useReadOnly	是	否	否
compute.instances.attachDisk	将磁盘附加到Cloud Volumes ONTAP中分离磁盘。	是	是	否
compute.instances.detachDisk	否	是	是
compute.instances.create	创建和删除Cloud Volumes ONTAP VM 实例。	是	否	否
compute.instances.delete	否	否	是
compute.instances.get	列出虚拟机实例。	是	是	否
compute.instances.getSerialPortOutput	获取控制台日志。	是	是	否
compute.instances.list	检索区域中的实例列表。	是	是	否
compute.instances.setDeletionProtection	对实例设置删除保护。	是	否	否
compute.instances.setLabels	添加标签。	是	否	否
compute.instances.setMachineType	更改Cloud Volumes ONTAP的机器类型。	是	是	否
compute.instances.setMinCpuPlatform	是	是	否
compute.instances.setMetadata	添加元数据。	是	是	否
compute.instances.setTags	为防火墙规则添加标签。	是	是	否
计算实例开始	启动和停止Cloud Volumes ONTAP。	是	是	否
compute.instances.stop	是	是	否
compute.instances.updateDisplayDevice	是	是	否
compute.instances.use	使用虚拟机实例（启动、停止、连接操作）。	否	是	否
compute.machineTypes.get	获取核心数以检查配额。	是	否	否
compute.projects.get	支持多项目。	是	否	否
计算资源策略创建	创建和管理资源策略，实现资源自动化管理。	否	是	否
计算资源策略删除	否	是	否
compute.resourcePolicies.get	否	是	否
计算快照创建	创建和管理持久磁盘快照。	是	是	否
计算快照删除	否	是	是
计算快照获取	否	是	否
计算快照列表	否	是	否
计算快照.设置标签	是	是	否
compute.networks.get	获取创建新的Cloud Volumes ONTAP虚拟机实例所需的网络信息。	是	是	否
计算网络列表	是	是	否
计算区域	是	是	否
计算区域列表	是	是	否
计算子网络	是	是	否
计算子网络列表	是	是	否
compute.zoneOperations.get	是	是	否
计算区域	是	是	否
计算区域列表	是	是	否
deploymentmanager.compositeTypes.get	使用 Google Cloud Deployment Manager 部署Cloud Volumes ONTAP虚拟机实例。	是	否	否
deploymentmanager.compositeTypes.list	是	否	否
deploymentmanager.deployments.create	是	否	否
deploymentmanager.deployments.delete	是	否	否
deploymentmanager.deployments.get	是	否	否
deploymentmanager.deployments.list	是	否	否
deploymentmanager.manifests.get	是	否	否
deploymentmanager.manifests.list	是	否	否
deploymentmanager.operations.get	是	否	否
deploymentmanager.operations.list	是	否	否
deploymentmanager.resources.get	是	否	否
deploymentmanager.resources.list	是	否	否
deploymentmanager.typeProviders.get	是	否	否
deploymentmanager.typeProviders.list	是	否	否
deploymentmanager.types.get	是	否	否
deploymentmanager.types.list	是	否	否
日志记录条目列表	获取堆栈日志驱动器。	是	是	否
logging.privateLogEntries.list	是	是	否
日志记录条目创建	创建并路由日志条目，用于监控、调试和审计。	是	是	否
日志记录.日志条目.路由	是	是	否
resourcemanager.projects.get	支持多项目。	是	是	否
存储桶创建	创建和管理用于数据分层的 Google Cloud Storage 存储桶。	是	是	否
存储桶删除	否	是	是
存储桶获取	否	是	否
存储桶列表	否	是	否
存储桶更新	否	是	否
cloudkms.cryptoKeyVersions.useToEncrypt	将来自 Cloud Key Management Service 的客户管理加密密钥与Cloud Volumes ONTAP结合使用。	是	是	否
cloudkms.cryptoKeys.get	是	是	否
cloudkms.cryptoKeys.列表	是	是	否
cloudkms.keyRings.列表	是	是	否
cloudbuild.builds.get	是	否	否
compute.instances.setServiceAccount	在Cloud Volumes ONTAP实例上设置服务帐户。此服务帐户提供将数据分层到 Google Cloud Storage 存储桶的权限。	是	是	否
iam.serviceAccounts.actAs	是	否	否
iam.serviceAccounts.create	是	否	否
iam.serviceAccounts.getIamPolicy	是	是	否
iam.serviceAccounts.list	是	是	否
iam.serviceAccountKeys.create	是	否	否
storage.objects.create	在 Google Cloud Storage 存储桶中创建和管理对象（文件）。	是	是	否
存储对象删除	否	否	是
storage.objects.get	是	是	否
存储对象列表	是	是	否
计算地址列表	在部署 HA 对时检索区域中的地址。	是	否	否
计算.地址.创建内部	在VPC网络内创建内部IP地址以进行资源分配。	否	是	否
计算.地址.删除内部	删除内部 IP 地址以进行资源清理。	否	是	否
计算.地址.设置标签	更新地址资源上的标签。	否	是	否
计算.地址.使用内部地址	网络通信请使用内部IP地址。	否	是	否
compute.backendServices.create	配置后端服务以在 HA 对中分配流量。	是	否	否
compute.regionBackendServices.create	创建和管理流量路由的后端服务。	是	否	否
compute.regionBackendServices.delete	否	是	否
compute.regionBackendServices.get	是	否	否
compute.regionBackendServices.update	是	是	否
compute.regionBackendServices.list	是	否	否
compute.regionBackendServices.use	否	是	否
compute.networks.updatePolicy	在 HA 对的 VPC 和子网上应用防火墙规则。	是	否	否
compute.instanceGroups.get	在Cloud Volumes ONTAP HA 对上创建和管理存储虚拟机。	是	是	否
计算地址	是	是	否
计算.实例.更新网络接口	是	是	否
compute.instanceGroups.create	否	是	否
compute.instanceGroups.delete	否	是	否
compute.instanceGroups.update	否	是	否
compute.instanceGroups.use	否	是	否
监控时间序列列表	发现有关 Google Cloud Storage 存储桶的信息。	是	是	否
storage.buckets.getIamPolicy	是	是	否

操作

目的

用于部署？

用于日常运营？

用于删除？

config.deployments.create

使用 Google Cloud Infrastructure Manager 部署Cloud Volumes ONTAP虚拟机实例。

是

否

config.deployments.delete

否

是

config.deployments.deleteState

否

是

config.deployments.get

否

是

否

config.deployments.getLock

否

是

否

config.deployments.getState

否

是

否

config.deployments.list

否

是

否

config.deployments.lock

否

是

否

config.deployments.update

否

是

否

config.deployments.updateState

否

是

否

config.operations.get

否

是

否

config.previews.get

否

是

否

config.previews.list

否

是

否

config.resources.list

否

是

否

config.revisions.get

否

是

否

计算磁盘创建

为Cloud Volumes ONTAP创建和管理磁盘。

是

否

compute.disk.createSnapshot

否

是

否

计算磁盘删除

否

是

计算磁盘获取

否

是

否

计算磁盘列表

是

否

计算磁盘设置标签

是

否

计算磁盘使用

否

是

否

计算防火墙创建

为Cloud Volumes ONTAP创建防火墙规则。

是

否

计算防火墙删除

否

是

计算防火墙

是

否

计算防火墙列表

是

否

计算转发规则创建

创建转发规则，将流量路由到后端服务。

否

是

否

计算转发规则删除

删除现有转发规则。

否

是

否

计算转发规则

获取现有转发规则的详细信息。

否

是

否

计算转发规则.设置标签

设置或更新组织转发规则的标签。

否

是

否

compute.globalOperations.get

获取操作状态。

是

否

计算健康检查创建

创建和管理健康检查，以监控后端服务的运行状况。

否

是

否

compute.healthChecks.delete

否

是

否

compute.healthChecks.get

否

是

否

compute.healthChecks.useReadOnly

否

是

否

compute.images.get

获取虚拟机实例的图像。

是

否

compute.images.getFromFamily

是

否

计算图像列表

是

否

compute.images.useReadOnly

是

否

compute.instances.attachDisk

将磁盘附加到Cloud Volumes ONTAP中分离磁盘。

是

否

compute.instances.detachDisk

否

是

compute.instances.create

创建和删除Cloud Volumes ONTAP VM 实例。

是

否

compute.instances.delete

否

是

compute.instances.get

列出虚拟机实例。

是

否

compute.instances.getSerialPortOutput

获取控制台日志。

是

否

compute.instances.list

检索区域中的实例列表。

是

否

compute.instances.setDeletionProtection

对实例设置删除保护。

是

否

compute.instances.setLabels

添加标签。

是

否

compute.instances.setMachineType

更改Cloud Volumes ONTAP的机器类型。

是

否

compute.instances.setMinCpuPlatform

是

否

compute.instances.setMetadata

添加元数据。

是

否

compute.instances.setTags

为防火墙规则添加标签。

是

否

计算实例开始

启动和停止Cloud Volumes ONTAP。

是

否

compute.instances.stop

是

否

compute.instances.updateDisplayDevice

是

否

compute.instances.use

使用虚拟机实例（启动、停止、连接操作）。

否

是

否

compute.machineTypes.get

获取核心数以检查配额。

是

否

compute.projects.get

支持多项目。

是

否

计算资源策略创建

创建和管理资源策略，实现资源自动化管理。

否

是

否

计算资源策略删除

否

是

否

compute.resourcePolicies.get

否

是

否

计算快照创建

创建和管理持久磁盘快照。

是

否

计算快照删除

否

是

计算快照获取

否

是

否

计算快照列表

否

是

否

计算快照.设置标签

是

否

compute.networks.get

获取创建新的Cloud Volumes ONTAP虚拟机实例所需的网络信息。

是

否

计算网络列表

是

否

计算区域

是

否

计算区域列表

是

否

计算子网络

是

否

计算子网络列表

是

否

compute.zoneOperations.get

是

否

计算区域

是

否

计算区域列表

是

否

deploymentmanager.compositeTypes.get

使用 Google Cloud Deployment Manager 部署Cloud Volumes ONTAP虚拟机实例。

是

否

deploymentmanager.compositeTypes.list

是

否

deploymentmanager.deployments.create

是

否

deploymentmanager.deployments.delete

是

否

deploymentmanager.deployments.get

是

否

deploymentmanager.deployments.list

是

否

deploymentmanager.manifests.get

是

否

deploymentmanager.manifests.list

是

否

deploymentmanager.operations.get

是

否

deploymentmanager.operations.list

是

否

deploymentmanager.resources.get

是

否

deploymentmanager.resources.list

是

否

deploymentmanager.typeProviders.get

是

否

deploymentmanager.typeProviders.list

是

否

deploymentmanager.types.get

是

否

deploymentmanager.types.list

是

否

日志记录条目列表

获取堆栈日志驱动器。

是

否

logging.privateLogEntries.list

是

否

日志记录条目创建

创建并路由日志条目，用于监控、调试和审计。

是

否

日志记录.日志条目.路由

是

否

resourcemanager.projects.get

支持多项目。

是

否

存储桶创建

创建和管理用于数据分层的 Google Cloud Storage 存储桶。

是

否

存储桶删除

否

是

存储桶获取

否

是

否

存储桶列表

否

是

否

存储桶更新

否

是

否

cloudkms.cryptoKeyVersions.useToEncrypt

将来自 Cloud Key Management Service 的客户管理加密密钥与Cloud Volumes ONTAP结合使用。

是

否

cloudkms.cryptoKeys.get

是

否

cloudkms.cryptoKeys.列表

是

否

cloudkms.keyRings.列表

是

否

cloudbuild.builds.get

是

否

compute.instances.setServiceAccount

在Cloud Volumes ONTAP实例上设置服务帐户。此服务帐户提供将数据分层到 Google Cloud Storage 存储桶的权限。

是

否

iam.serviceAccounts.actAs

是

否

iam.serviceAccounts.create

是

否

iam.serviceAccounts.getIamPolicy

是

否

iam.serviceAccounts.list

是

否

iam.serviceAccountKeys.create

是

否

storage.objects.create

在 Google Cloud Storage 存储桶中创建和管理对象（文件）。

是

否

存储对象删除

否

是

storage.objects.get

是

否

存储对象列表

是

否

计算地址列表

在部署 HA 对时检索区域中的地址。

是

否

计算.地址.创建内部

在VPC网络内创建内部IP地址以进行资源分配。

否

是

否

计算.地址.删除内部

删除内部 IP 地址以进行资源清理。

否

是

否

计算.地址.设置标签

更新地址资源上的标签。

否

是

否

计算.地址.使用内部地址

网络通信请使用内部IP地址。

否

是

否

compute.backendServices.create

配置后端服务以在 HA 对中分配流量。

是

否

compute.regionBackendServices.create

创建和管理流量路由的后端服务。

是

否

compute.regionBackendServices.delete

否

是

否

compute.regionBackendServices.get

是

否

compute.regionBackendServices.update

是

否

compute.regionBackendServices.list

是

否

compute.regionBackendServices.use

否

是

否

compute.networks.updatePolicy

在 HA 对的 VPC 和子网上应用防火墙规则。

是

否

compute.instanceGroups.get

在Cloud Volumes ONTAP HA 对上创建和管理存储虚拟机。

是

否

计算地址

是

否

计算.实例.更新网络接口

是

否

compute.instanceGroups.create

否

是

否

compute.instanceGroups.delete

否

是

否

compute.instanceGroups.update

否

是

否

compute.instanceGroups.use

否

是

否

监控时间序列列表

发现有关 Google Cloud Storage 存储桶的信息。

是

否

storage.buckets.getIamPolicy

是

否

NetApp Backup and Recovery所使用的权限

控制台代理使用自定义角色中的权限来管理 Google Cloud 网络中的NetApp Backup and Recovery资源和进程。以下各节描述了代理如何使用这些权限。

查看NetApp Backup and Recovery的权限

操作

目的

用于部署？

用于日常运营？

用于删除？

cloudkms.cryptoKeys.get
cloudkms.cryptoKeys.getIamPolicy
cloudkms.cryptoKeys.列表
cloudkms.cryptoKeys.setIamPolicy
cloudkms.keyRings.get
cloudkms.keyRings.getIamPolicy
cloudkms.keyRings.列表
cloudkms.keyRings.setIamPolicy

在NetApp Backup and Recovery激活向导中选择您自己的客户管理密钥，而不是使用默认的 Google 管理加密密钥。

是

否

NetApp Data Classification所使用的权限

控制台代理使用自定义角色中的权限来管理 Google Cloud 网络中的NetApp Data Classification资源和进程。以下各节描述了代理如何使用这些权限。

查看NetApp Data Classification的权限

操作

目的

用于部署？

用于日常运营？

用于删除？

计算子网络使用
compute.subnetworks.useExternalIp
compute.instances.addAccessConfig

启用NetApp Data Classification。

是

否

更改日志

新增和移除的权限如下所示。

2025年12月8日

NetApp正在从 Google Cloud Deployment Manager 迁移到 Google Cloud Infrastructure Manager (IM)，以便在 Google Cloud 中部署和运行控制台代理。为支持此更改，添加了以下权限。

部署代理的 Google Cloud 用户需要以下附加权限：

存储桶创建
存储桶获取
storage.objects.create
存储文件夹创建
存储对象列表
iam.serviceAccount.actAs
config.deployments.create
config.operations.get

用于日常运营的 Google Cloud 服务帐号需要以下额外权限：

cloudbuild.connections.list
cloudbuild.repositories.accessReadToken
cloudbuild.repositories.list
cloudquotas.quotas.get
config.artifacts.import
config.deployments.deleteState
config.deployments.getLock
config.deployments.getState
config.deployments.updateState
config.previews.upload
config.revisions.getState
日志记录条目创建
storage.objects.create
存储对象删除
存储对象更新
iam.serviceAccounts.get

部署Cloud Volumes ONTAP需要以下附加权限：

cloudbuild.builds.get
config.deployments.delete
config.deployments.deleteState
config.deployments.get
config.deployments.getState
config.deployments.list
config.deployments.update
config.deployments.updateState
config.previews.get
config.previews.list
config.revisions.get
config.resources.list
iam.serviceAccountKeys.create
iam.serviceAccounts.create

对于用于Cloud Volumes ONTAP日常操作的服务帐户，需要以下附加权限。

计算.地址.创建内部
计算.地址.删除内部
计算.地址.设置标签
计算.地址.使用内部地址
计算转发规则创建
计算转发规则删除
计算转发规则
计算转发规则.设置标签
计算健康检查创建
compute.healthChecks.delete
compute.healthChecks.get
compute.healthChecks.useReadOnly
compute.instanceGroups.create
compute.instanceGroups.delete
compute.instanceGroups.update
compute.instanceGroups.use
compute.instances.use
compute.regionBackendServices.delete
compute.regionBackendServices.update
compute.regionBackendServices.use
计算资源策略创建
计算资源策略删除
compute.resourcePolicies.get
日志记录.日志条目.路由
config.deployments.create
config.deployments.delete
config.deployments.get
config.deployments.update
config.revisions.get
config.deployments.lock
config.operations.get

2025年11月26日

权限已更新，以使其用途更加清晰，但未添加或删除任何权限。新增三列，分别指示每个权限是用于部署、日常操作还是删除。除此之外，还有一些权限根据其在NetApp Data Classification和NetApp Backup and Recovery的用途进行了划分。

2023年2月6日

此策略中添加了以下权限：

计算.实例.更新网络接口

Cloud Volumes ONTAP需要此权限。

2023年1月27日

此策略新增了以下权限：

cloudkms.cryptoKeys.getIamPolicy
cloudkms.cryptoKeys.setIamPolicy
cloudkms.keyRings.get
cloudkms.keyRings.getIamPolicy
cloudkms.keyRings.setIamPolicy

NetApp Backup and Recovery需要这些权限。

控制台代理的 Google Cloud 权限

Creating your file...

Google Cloud 用户帐户权限

服务帐户权限

Google Cloud 权限的使用方式

Cloud Volumes ONTAP使用的权限

NetApp Backup and Recovery所使用的权限

NetApp Data Classification所使用的权限

更改日志

2025年12月8日

2025年11月26日

2023年2月6日

2023年1月27日