本繁體中文版使用機器翻譯，譯文僅供參考，若與英文版本牴觸，應以英文版本為準。

控制台代理的 Google Cloud 權限

11/21/2025 貢獻者

PDF

控制台代理程式需要權限才能在 Google Cloud 中執行操作。這些權限包含在NetApp提供的自訂角色中。您應該了解代理程式使用這些權限做什麼。

服務帳戶權限

下面顯示的自訂角色提供了控制台代理程式管理 Google Cloud 網路內的資源和流程所需的權限。

您需要將此自訂角色套用到附加到控制台代理程式 VM 的服務帳戶。

您還需要確保角色是最新的，因為後續版本中會新增新的權限。如果需要新的權限，它們將在發行說明中列出。

title: NetApp Console agent
description: Permissions for the service account associated with the Console agent.
stage: GA
includedPermissions:
- iam.serviceAccounts.actAs
- compute.regionBackendServices.create
- compute.regionBackendServices.get
- compute.regionBackendServices.list
- compute.networks.updatePolicy
- compute.backendServices.create
- compute.addresses.list
- compute.disks.create
- compute.disks.createSnapshot
- compute.disks.delete
- compute.disks.get
- compute.disks.list
- compute.disks.setLabels
- compute.disks.use
- compute.firewalls.create
- compute.firewalls.delete
- compute.firewalls.get
- compute.firewalls.list
- compute.globalOperations.get
- compute.images.get
- compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly
- compute.instances.addAccessConfig
- compute.instances.attachDisk
- compute.instances.create
- compute.instances.delete
- compute.instances.detachDisk
- compute.instances.get
- compute.instances.getSerialPortOutput
- compute.instances.list
- compute.instances.setDeletionProtection
- compute.instances.setLabels
- compute.instances.setMachineType
- compute.instances.setMetadata
- compute.instances.setTags
- compute.instances.start
- compute.instances.stop
- compute.instances.updateDisplayDevice
- compute.instanceGroups.get
- compute.addresses.get
- compute.instances.updateNetworkInterface
- compute.machineTypes.get
- compute.networks.get
- compute.networks.list
- compute.projects.get
- compute.regions.get
- compute.regions.list
- compute.snapshots.create
- compute.snapshots.delete
- compute.snapshots.get
- compute.snapshots.list
- compute.snapshots.setLabels
- compute.subnetworks.get
- compute.subnetworks.list
- compute.subnetworks.use
- compute.subnetworks.useExternalIp
- compute.zoneOperations.get
- compute.zones.get
- compute.zones.list
- compute.instances.setServiceAccount
- deploymentmanager.compositeTypes.get
- deploymentmanager.compositeTypes.list
- deploymentmanager.deployments.create
- deploymentmanager.deployments.delete
- deploymentmanager.deployments.get
- deploymentmanager.deployments.list
- deploymentmanager.manifests.get
- deploymentmanager.manifests.list
- deploymentmanager.operations.get
- deploymentmanager.operations.list
- deploymentmanager.resources.get
- deploymentmanager.resources.list
- deploymentmanager.typeProviders.get
- deploymentmanager.typeProviders.list
- deploymentmanager.types.get
- deploymentmanager.types.list
- logging.logEntries.list
- logging.privateLogEntries.list
- resourcemanager.projects.get
- storage.buckets.create
- storage.buckets.delete
- storage.buckets.get
- storage.buckets.list
- cloudkms.cryptoKeyVersions.useToEncrypt
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list
- storage.buckets.update
- iam.serviceAccounts.getIamPolicy
- iam.serviceAccounts.list
- storage.objects.get
- storage.objects.list
- monitoring.timeSeries.list
- storage.buckets.getIamPolicy
- cloudkms.cryptoKeys.getIamPolicy
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.get
- cloudkms.keyRings.getIamPolicy
- cloudkms.keyRings.setIamPolicy

Google Cloud 權限的使用方式

行動	目的	用於部署？	用於日常營運？	用於刪除？
計算磁碟創建	為Cloud Volumes ONTAP建立和管理磁碟。	是的	是的	不
compute.disk.createSnapshot	不	是的	不
計算磁碟刪除	不	是的	是的
計算磁碟獲取	不	是的	不
計算磁碟列表	是的	是的	不
計算磁碟設定標籤	是的	是的	不
計算磁碟使用	不	是的	不
計算防火牆創建	為Cloud Volumes ONTAP建立防火牆規則。	是的	不	不
計算防火牆刪除	不	是的	是的
計算防火牆	是的	是的	不
計算防火牆列表	是的	是的	不
compute.globalOperations.get。	獲取操作狀態。	是的	是的	不
compute.images.get	取得虛擬機器實例的影像。	是的	不	不
compute.images.getFromFamily	是的	不	不
計算圖像列表	是的	不	不
compute.images.useReadOnly	是的	不	不
compute.instances.attachDisk	將磁碟附加到Cloud Volumes ONTAP中分離磁碟。	是的	是的	不
compute.instances.detachDisk	不	是的	是的
compute.instances.create	建立和刪除Cloud Volumes ONTAP VM 實例。	是的	不	不
compute.instances.delete	不	不	是的
compute.instances.get	列出虛擬機器實例。	是的	是的	不
compute.instances.getSerialPortOutput	取得控制台日誌。	是的	是的	不
compute.instances.list	檢索區域中的實例清單。	是的	是的	不
compute.instances.setDeletionProtection	對實例設定刪除保護。	是的	不	不
compute.instances.setLabels	新增標籤。	是的	不	不
compute.instances.setMachineType	變更Cloud Volumes ONTAP的機器類型。	是的	是的	不
compute.instances.setMinCpuPlatform	是的	是的	不
compute.instances.setMetadata	新增元資料。	是的	是的	不
compute.instances.setTags	為防火牆規則新增標籤。	是的	是的	不
計算實例開始	啟動和停止Cloud Volumes ONTAP。	是的	是的	不
compute.instances.stop	是的	是的	不
compute.instances.updateDisplayDevice	是的	是的	不
compute.machineTypes.get	取得核心數以檢查配額。	是的	不	不
compute.projects.get	支援多項目。	是的	不	不
計算快照創建	建立和管理持久性磁碟快照。	是的	是的	不
計算快照刪除	不	是的	是的
計算快照獲取	不	是的	不
計算快照列表	不	是的	不
計算快照.設定標籤	是的	是的	不
compute.networks.get	取得建立新的Cloud Volumes ONTAP虛擬機器實例所需的網路資訊。	是的	是的	不
計算網路列表	是的	是的	不
計算區域	是的	是的	不
計算區域列表	是的	是的	不
計算子網路	是的	是的	不
計算子網路列表	是的	是的	不
compute.zoneOperations.get	是的	是的	不
計算區域	是的	是的	不
計算區域列表	是的	是的	不
deploymentmanager.compositeTypes.get	使用 Google Cloud Deployment Manager 部署Cloud Volumes ONTAP虛擬機器實例。	是的	不	不
deploymentmanager.compositeTypes.list	是的	不	不
deploymentmanager.deployments.create	是的	不	不
deploymentmanager.deployments.delete	是的	不	不
deploymentmanager.deployments.get	是的	不	不
deploymentmanager.deployments.list	是的	不	不
deploymentmanager.manifests.get	是的	不	不
deploymentmanager.manifests.list	是的	不	不
deploymentmanager.operations.get	是的	不	不
deploymentmanager.operations.list	是的	不	不
deploymentmanager.resources.get	是的	不	不
deploymentmanager.resources.list	是的	不	不
deploymentmanager.typeProviders.get	是的	不	不
deploymentmanager.typeProviders.list	是的	不	不
deploymentmanager.types.get	是的	不	不
deploymentmanager.types.list	是的	不	不
日誌記錄條目列表	取得堆疊日誌驅動器。	是的	是的	不
logging.privateLogEntries.list	是的	是的	不
resourcemanager.projects.get	支援多項目。	是的	是的	不
儲存桶創建	建立和管理用於資料分層的 Google Cloud Storage 儲存桶。	是的	是的	不
儲存桶刪除	不	是的	是的
存儲桶獲取	不	是的	不
儲存桶列表	不	是的	不
儲存桶更新	不	是的	不
cloudkms.cryptoKeyVersions.useToEncrypt	將來自 Cloud Key Management Service 的客戶管理加密金鑰與Cloud Volumes ONTAP結合使用。	是的	是的	不
cloudkms.cryptoKeys.get	是的	是的	不
cloudkms.cryptoKeys.列表	是的	是的	不
cloudkms.keyRings.列表	是的	是的	不
compute.instances.setServiceAccount	在Cloud Volumes ONTAP實例上設定服務帳戶。此服務帳戶提供將資料分層至 Google Cloud Storage 儲存桶的權限。	是的	是的	不
iam.serviceAccounts.actAs	是的	不	不
iam.serviceAccounts.getIamPolicy	是的	是的	不
iam.serviceAccounts.list	是的	是的	不
storage.objects.get	是的	是的	不
儲存物件列表	是的	是的	不
計算地址列表	在部署 HA 對時檢索區域中的位址。	是的	不	不
compute.backendServices.create	配置後端服務以在 HA 對中分配流量。	是的	不	不
compute.regionBackendServices.create	是的	不	不
compute.regionBackendServices.get	是的	不	不
compute.regionBackendServices.list	是的	不	不
compute.networks.updatePolicy	在 HA 對的 VPC 和子網路上套用防火牆規則。	是的	不	不
compute.instanceGroups.get	在Cloud Volumes ONTAP HA 對上建立和管理儲存虛擬機器。	是的	是的	不
計算地址	是的	是的	不
計算.實例.更新網路介面	是的	是的	不
監控時間序列列表	發現有關 Google Cloud Storage 儲存桶的資訊。	是的	是的	不
storage.buckets.getIamPolicy	是的	是的	不

行動

目的

用於部署？

用於日常營運？

用於刪除？

計算磁碟創建

為Cloud Volumes ONTAP建立和管理磁碟。

是的

不

compute.disk.createSnapshot

不

是的

不

計算磁碟刪除

不

是的

計算磁碟獲取

不

是的

不

計算磁碟列表

是的

不

計算磁碟設定標籤

是的

不

計算磁碟使用

不

是的

不

計算防火牆創建

為Cloud Volumes ONTAP建立防火牆規則。

是的

不

計算防火牆刪除

不

是的

計算防火牆

是的

不

計算防火牆列表

是的

不

compute.globalOperations.get。

獲取操作狀態。

是的

不

compute.images.get

取得虛擬機器實例的影像。

是的

不

compute.images.getFromFamily

是的

不

計算圖像列表

是的

不

compute.images.useReadOnly

是的

不

compute.instances.attachDisk

將磁碟附加到Cloud Volumes ONTAP中分離磁碟。

是的

不

compute.instances.detachDisk

不

是的

compute.instances.create

建立和刪除Cloud Volumes ONTAP VM 實例。

是的

不

compute.instances.delete

不

是的

compute.instances.get

列出虛擬機器實例。

是的

不

compute.instances.getSerialPortOutput

取得控制台日誌。

是的

不

compute.instances.list

檢索區域中的實例清單。

是的

不

compute.instances.setDeletionProtection

對實例設定刪除保護。

是的

不

compute.instances.setLabels

新增標籤。

是的

不

compute.instances.setMachineType

變更Cloud Volumes ONTAP的機器類型。

是的

不

compute.instances.setMinCpuPlatform

是的

不

compute.instances.setMetadata

新增元資料。

是的

不

compute.instances.setTags

為防火牆規則新增標籤。

是的

不

計算實例開始

啟動和停止Cloud Volumes ONTAP。

是的

不

compute.instances.stop

是的

不

compute.instances.updateDisplayDevice

是的

不

compute.machineTypes.get

取得核心數以檢查配額。

是的

不

compute.projects.get

支援多項目。

是的

不

計算快照創建

建立和管理持久性磁碟快照。

是的

不

計算快照刪除

不

是的

計算快照獲取

不

是的

不

計算快照列表

不

是的

不

計算快照.設定標籤

是的

不

compute.networks.get

取得建立新的Cloud Volumes ONTAP虛擬機器實例所需的網路資訊。

是的

不

計算網路列表

是的

不

計算區域

是的

不

計算區域列表

是的

不

計算子網路

是的

不

計算子網路列表

是的

不

compute.zoneOperations.get

是的

不

計算區域

是的

不

計算區域列表

是的

不

deploymentmanager.compositeTypes.get

使用 Google Cloud Deployment Manager 部署Cloud Volumes ONTAP虛擬機器實例。

是的

不

deploymentmanager.compositeTypes.list

是的

不

deploymentmanager.deployments.create

是的

不

deploymentmanager.deployments.delete

是的

不

deploymentmanager.deployments.get

是的

不

deploymentmanager.deployments.list

是的

不

deploymentmanager.manifests.get

是的

不

deploymentmanager.manifests.list

是的

不

deploymentmanager.operations.get

是的

不

deploymentmanager.operations.list

是的

不

deploymentmanager.resources.get

是的

不

deploymentmanager.resources.list

是的

不

deploymentmanager.typeProviders.get

是的

不

deploymentmanager.typeProviders.list

是的

不

deploymentmanager.types.get

是的

不

deploymentmanager.types.list

是的

不

日誌記錄條目列表

取得堆疊日誌驅動器。

是的

不

logging.privateLogEntries.list

是的

不

resourcemanager.projects.get

支援多項目。

是的

不

儲存桶創建

建立和管理用於資料分層的 Google Cloud Storage 儲存桶。

是的

不

儲存桶刪除

不

是的

存儲桶獲取

不

是的

不

儲存桶列表

不

是的

不

儲存桶更新

不

是的

不

cloudkms.cryptoKeyVersions.useToEncrypt

將來自 Cloud Key Management Service 的客戶管理加密金鑰與Cloud Volumes ONTAP結合使用。

是的

不

cloudkms.cryptoKeys.get

是的

不

cloudkms.cryptoKeys.列表

是的

不

cloudkms.keyRings.列表

是的

不

compute.instances.setServiceAccount

在Cloud Volumes ONTAP實例上設定服務帳戶。此服務帳戶提供將資料分層至 Google Cloud Storage 儲存桶的權限。

是的

不

iam.serviceAccounts.actAs

是的

不

iam.serviceAccounts.getIamPolicy

是的

不

iam.serviceAccounts.list

是的

不

storage.objects.get

是的

不

儲存物件列表

是的

不

計算地址列表

在部署 HA 對時檢索區域中的位址。

是的

不

compute.backendServices.create

配置後端服務以在 HA 對中分配流量。

是的

不

compute.regionBackendServices.create

是的

不

compute.regionBackendServices.get

是的

不

compute.regionBackendServices.list

是的

不

compute.networks.updatePolicy

在 HA 對的 VPC 和子網路上套用防火牆規則。

是的

不

compute.instanceGroups.get

在Cloud Volumes ONTAP HA 對上建立和管理儲存虛擬機器。

是的

不

計算地址

是的

不

計算.實例.更新網路介面

是的

不

監控時間序列列表

發現有關 Google Cloud Storage 儲存桶的資訊。

是的

不

storage.buckets.getIamPolicy

是的

不

NetApp Backup and Recovery所使用的權限

行動

目的

用於部署？

用於日常營運？

用於刪除？

cloudkms.cryptoKeys.get
cloudkms.cryptoKeys.getIamPolicy
cloudkms.cryptoKeys.列表
cloudkms.cryptoKeys.setIamPolicy
cloudkms.keyRings.get
cloudkms.keyRings.getIamPolicy
cloudkms.keyRings.列表
cloudkms.keyRings.setIamPolicy

在NetApp Backup and Recovery啟動精靈中選擇您自己的客戶管理金鑰，而不是使用預設的 Google 管理加密金鑰。

是的

不

NetApp Data Classification所使用的權限

行動

目的

用於部署？

用於日常營運？

用於刪除？

計算子網路使用
compute.subnetworks.useExternalIp
compute.instances.addAccessConfig

啟用NetApp Data Classification。

是的

不

更改日誌

當新增和刪除權限時，我們會在下面的部分中註明。

2025年11月26日

權限已更新，以使其用途更加清晰，但未添加或刪除任何權限。新增三列，分別指示每個權限是用於部署、日常操作或刪除。除此之外，還有一些權限根據其在NetApp Data Classification和NetApp Backup and Recovery的用途進行了劃分。

2023年2月06日

此策略中新增了以下權限：

計算.實例.更新網路介面

Cloud Volumes ONTAP需要此權限。

2023年1月27日

已將以下權限新增至策略：

cloudkms.cryptoKeys.getIamPolicy
cloudkms.cryptoKeys.setIamPolicy
cloudkms.keyRings.get
cloudkms.keyRings.getIamPolicy
cloudkms.keyRings.setIamPolicy

NetApp Backup and Recovery需要這些權限。

控制台代理的 Google Cloud 權限

Creating your file...

服務帳戶權限

Google Cloud 權限的使用方式

NetApp Backup and Recovery所使用的權限

NetApp Data Classification所使用的權限

更改日誌

2025年11月26日

2023年2月06日

2023年1月27日