控制台代理的 Google Cloud 权限
建议更改
PDF
控制台代理需要权限才能在 Google Cloud 中执行操作。这些权限包含在NetApp提供的自定义角色中。您应该了解代理使用这些权限做什么。
服务帐户权限
下面显示的自定义角色提供了控制台代理管理 Google Cloud 网络内的资源和流程所需的权限。
您需要将此自定义角色应用到附加到控制台代理 VM 的服务帐户。
您还需要确保角色是最新的,因为后续版本中会添加新的权限。如果需要新的权限,它们将在发行说明中列出。
title: NetApp Console agent
description: Permissions for the service account associated with the Console agent.
stage: GA
includedPermissions:
- iam.serviceAccounts.actAs
- compute.regionBackendServices.create
- compute.regionBackendServices.get
- compute.regionBackendServices.list
- compute.networks.updatePolicy
- compute.backendServices.create
- compute.addresses.list
- compute.disks.create
- compute.disks.createSnapshot
- compute.disks.delete
- compute.disks.get
- compute.disks.list
- compute.disks.setLabels
- compute.disks.use
- compute.firewalls.create
- compute.firewalls.delete
- compute.firewalls.get
- compute.firewalls.list
- compute.globalOperations.get
- compute.images.get
- compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly
- compute.instances.addAccessConfig
- compute.instances.attachDisk
- compute.instances.create
- compute.instances.delete
- compute.instances.detachDisk
- compute.instances.get
- compute.instances.getSerialPortOutput
- compute.instances.list
- compute.instances.setDeletionProtection
- compute.instances.setLabels
- compute.instances.setMachineType
- compute.instances.setMetadata
- compute.instances.setTags
- compute.instances.start
- compute.instances.stop
- compute.instances.updateDisplayDevice
- compute.instanceGroups.get
- compute.addresses.get
- compute.instances.updateNetworkInterface
- compute.machineTypes.get
- compute.networks.get
- compute.networks.list
- compute.projects.get
- compute.regions.get
- compute.regions.list
- compute.snapshots.create
- compute.snapshots.delete
- compute.snapshots.get
- compute.snapshots.list
- compute.snapshots.setLabels
- compute.subnetworks.get
- compute.subnetworks.list
- compute.subnetworks.use
- compute.subnetworks.useExternalIp
- compute.zoneOperations.get
- compute.zones.get
- compute.zones.list
- compute.instances.setServiceAccount
- deploymentmanager.compositeTypes.get
- deploymentmanager.compositeTypes.list
- deploymentmanager.deployments.create
- deploymentmanager.deployments.delete
- deploymentmanager.deployments.get
- deploymentmanager.deployments.list
- deploymentmanager.manifests.get
- deploymentmanager.manifests.list
- deploymentmanager.operations.get
- deploymentmanager.operations.list
- deploymentmanager.resources.get
- deploymentmanager.resources.list
- deploymentmanager.typeProviders.get
- deploymentmanager.typeProviders.list
- deploymentmanager.types.get
- deploymentmanager.types.list
- logging.logEntries.list
- logging.privateLogEntries.list
- resourcemanager.projects.get
- storage.buckets.create
- storage.buckets.delete
- storage.buckets.get
- storage.buckets.list
- cloudkms.cryptoKeyVersions.useToEncrypt
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list
- storage.buckets.update
- iam.serviceAccounts.getIamPolicy
- iam.serviceAccounts.list
- storage.objects.get
- storage.objects.list
- monitoring.timeSeries.list
- storage.buckets.getIamPolicy
- cloudkms.cryptoKeys.getIamPolicy
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.get
- cloudkms.keyRings.getIamPolicy
- cloudkms.keyRings.setIamPolicyGoogle Cloud 权限的使用方式
| 操作 | 目的 | 用于部署? | 用于日常运营? | 用于删除? |
|---|---|---|---|---|
计算磁盘创建 |
为Cloud Volumes ONTAP创建和管理磁盘。 |
是 |
是 |
否 |
compute.disk.createSnapshot |
否 |
是 |
否 |
|
计算磁盘删除 |
否 |
是 |
是 |
|
计算磁盘获取 |
否 |
是 |
否 |
|
计算磁盘列表 |
是 |
是 |
否 |
|
计算磁盘设置标签 |
是 |
是 |
否 |
|
计算磁盘使用 |
否 |
是 |
否 |
|
计算防火墙创建 |
为Cloud Volumes ONTAP创建防火墙规则。 |
是 |
否 |
否 |
计算防火墙删除 |
否 |
是 |
是 |
|
计算防火墙 |
是 |
是 |
否 |
|
计算防火墙列表 |
是 |
是 |
否 |
|
compute.globalOperations.get。 |
获取操作状态。 |
是 |
是 |
否 |
compute.images.get |
获取虚拟机实例的图像。 |
是 |
否 |
否 |
compute.images.getFromFamily |
是 |
否 |
否 |
|
计算图像列表 |
是 |
否 |
否 |
|
compute.images.useReadOnly |
是 |
否 |
否 |
|
compute.instances.attachDisk |
将磁盘附加到Cloud Volumes ONTAP中分离磁盘。 |
是 |
是 |
否 |
compute.instances.detachDisk |
否 |
是 |
是 |
|
compute.instances.create |
创建和删除Cloud Volumes ONTAP VM 实例。 |
是 |
否 |
否 |
compute.instances.delete |
否 |
否 |
是 |
|
compute.instances.get |
列出虚拟机实例。 |
是 |
是 |
否 |
compute.instances.getSerialPortOutput |
获取控制台日志。 |
是 |
是 |
否 |
compute.instances.list |
检索区域中的实例列表。 |
是 |
是 |
否 |
compute.instances.setDeletionProtection |
对实例设置删除保护。 |
是 |
否 |
否 |
compute.instances.setLabels |
添加标签。 |
是 |
否 |
否 |
compute.instances.setMachineType |
更改Cloud Volumes ONTAP的机器类型。 |
是 |
是 |
否 |
compute.instances.setMinCpuPlatform |
是 |
是 |
否 |
|
compute.instances.setMetadata |
添加元数据。 |
是 |
是 |
否 |
compute.instances.setTags |
为防火墙规则添加标签。 |
是 |
是 |
否 |
计算实例开始 |
启动和停止Cloud Volumes ONTAP。 |
是 |
是 |
否 |
compute.instances.stop |
是 |
是 |
否 |
|
compute.instances.updateDisplayDevice |
是 |
是 |
否 |
|
compute.machineTypes.get |
获取核心数以检查配额。 |
是 |
否 |
否 |
compute.projects.get |
支持多项目。 |
是 |
否 |
否 |
计算快照创建 |
创建和管理持久磁盘快照。 |
是 |
是 |
否 |
计算快照删除 |
否 |
是 |
是 |
|
计算快照获取 |
否 |
是 |
否 |
|
计算快照列表 |
否 |
是 |
否 |
|
计算快照.设置标签 |
是 |
是 |
否 |
|
compute.networks.get |
获取创建新的Cloud Volumes ONTAP虚拟机实例所需的网络信息。 |
是 |
是 |
否 |
计算网络列表 |
是 |
是 |
否 |
|
计算区域 |
是 |
是 |
否 |
|
计算区域列表 |
是 |
是 |
否 |
|
计算子网络 |
是 |
是 |
否 |
|
计算子网络列表 |
是 |
是 |
否 |
|
compute.zoneOperations.get |
是 |
是 |
否 |
|
计算区域 |
是 |
是 |
否 |
|
计算区域列表 |
是 |
是 |
否 |
|
deploymentmanager.compositeTypes.get |
使用 Google Cloud Deployment Manager 部署Cloud Volumes ONTAP虚拟机实例。 |
是 |
否 |
否 |
deploymentmanager.compositeTypes.list |
是 |
否 |
否 |
|
deploymentmanager.deployments.create |
是 |
否 |
否 |
|
deploymentmanager.deployments.delete |
是 |
否 |
否 |
|
deploymentmanager.deployments.get |
是 |
否 |
否 |
|
deploymentmanager.deployments.list |
是 |
否 |
否 |
|
deploymentmanager.manifests.get |
是 |
否 |
否 |
|
deploymentmanager.manifests.list |
是 |
否 |
否 |
|
deploymentmanager.operations.get |
是 |
否 |
否 |
|
deploymentmanager.operations.list |
是 |
否 |
否 |
|
deploymentmanager.resources.get |
是 |
否 |
否 |
|
deploymentmanager.resources.list |
是 |
否 |
否 |
|
deploymentmanager.typeProviders.get |
是 |
否 |
否 |
|
deploymentmanager.typeProviders.list |
是 |
否 |
否 |
|
deploymentmanager.types.get |
是 |
否 |
否 |
|
deploymentmanager.types.list |
是 |
否 |
否 |
|
日志记录条目列表 |
获取堆栈日志驱动器。 |
是 |
是 |
否 |
logging.privateLogEntries.list |
是 |
是 |
否 |
|
resourcemanager.projects.get |
支持多项目。 |
是 |
是 |
否 |
存储桶创建 |
创建和管理用于数据分层的 Google Cloud Storage 存储桶。 |
是 |
是 |
否 |
存储桶删除 |
否 |
是 |
是 |
|
存储桶获取 |
否 |
是 |
否 |
|
存储桶列表 |
否 |
是 |
否 |
|
存储桶更新 |
否 |
是 |
否 |
|
cloudkms.cryptoKeyVersions.useToEncrypt |
将来自 Cloud Key Management Service 的客户管理加密密钥与Cloud Volumes ONTAP结合使用。 |
是 |
是 |
否 |
cloudkms.cryptoKeys.get |
是 |
是 |
否 |
|
cloudkms.cryptoKeys.列表 |
是 |
是 |
否 |
|
cloudkms.keyRings.列表 |
是 |
是 |
否 |
|
compute.instances.setServiceAccount |
在Cloud Volumes ONTAP实例上设置服务帐户。此服务帐户提供将数据分层到 Google Cloud Storage 存储桶的权限。 |
是 |
是 |
否 |
iam.serviceAccounts.actAs |
是 |
否 |
否 |
|
iam.serviceAccounts.getIamPolicy |
是 |
是 |
否 |
|
iam.serviceAccounts.list |
是 |
是 |
否 |
|
storage.objects.get |
是 |
是 |
否 |
|
存储对象列表 |
是 |
是 |
否 |
|
计算地址列表 |
在部署 HA 对时检索区域中的地址。 |
是 |
否 |
否 |
compute.backendServices.create |
配置后端服务以在 HA 对中分配流量。 |
是 |
否 |
否 |
compute.regionBackendServices.create |
是 |
否 |
否 |
|
compute.regionBackendServices.get |
是 |
否 |
否 |
|
compute.regionBackendServices.list |
是 |
否 |
否 |
|
compute.networks.updatePolicy |
在 HA 对的 VPC 和子网上应用防火墙规则。 |
是 |
否 |
否 |
compute.instanceGroups.get |
在Cloud Volumes ONTAP HA 对上创建和管理存储虚拟机。 |
是 |
是 |
否 |
计算地址 |
是 |
是 |
否 |
|
计算.实例.更新网络接口 |
是 |
是 |
否 |
|
监控时间序列列表 |
发现有关 Google Cloud Storage 存储桶的信息。 |
是 |
是 |
否 |
storage.buckets.getIamPolicy |
是 |
是 |
否 |
NetApp Backup and Recovery所使用的权限
操作 |
目的 |
用于部署? |
用于日常运营? |
用于删除? |
|
在NetApp Backup and Recovery激活向导中选择您自己的客户管理密钥,而不是使用默认的 Google 管理加密密钥。 |
是 |
是 |
否 |
NetApp Data Classification所使用的权限
操作 |
目的 |
用于部署? |
用于日常运营? |
用于删除? |
|
启用NetApp Data Classification。 |
是 |
否 |
否 |
更改日志
当添加和删除权限时,我们会在下面的部分中注明。
2025年11月26日
权限已更新,以使其用途更加清晰,但未添加或删除任何权限。新增三列,分别指示每个权限是用于部署、日常操作还是删除。除此之外,还有一些权限根据其在NetApp Data Classification和NetApp Backup and Recovery的用途进行了划分。
2023年2月6日
此策略中添加了以下权限:
-
计算.实例.更新网络接口
Cloud Volumes ONTAP需要此权限。
2023年1月27日
已将以下权限添加到策略中:
-
cloudkms.cryptoKeys.getIamPolicy
-
cloudkms.cryptoKeys.setIamPolicy
-
cloudkms.keyRings.get
-
cloudkms.keyRings.getIamPolicy
-
cloudkms.keyRings.setIamPolicy
NetApp Backup and Recovery需要这些权限。