Questa pagina descrive i ruoli e le autorizzazioni di Identity and Access Management (IAM) necessari per utilizzare Network Connectivity Center.
A livello generale, sono necessari i seguenti elementi:
- Autorizzazioni predefinite di Network Connectivity Center, descritte in Ruoli predefiniti.
- Autorizzazioni aggiuntive come segue:
- Per creare spoke, devi disporre dell'autorizzazione per leggere i tipi di risorse spoke pertinenti, come descritto in Autorizzazione per creare uno spoke.
- Per utilizzare Network Connectivity Center nella console Google Cloud, devi disporre dell'autorizzazione per visualizzare determinate risorse di rete Virtual Private Cloud (VPC), come descritto in Autorizzazione per l'utilizzo di Network Connectivity Center nella console Google Cloud.
Tieni presente che se devi utilizzare Network Connectivity Center in una rete VPC condiviso, devi disporre di tutte le autorizzazioni necessarie nel progetto host. Un hub, i relativi spoke e tutte le risorse correlate devono trovarsi nel progetto ospitante.
Per informazioni su come concedere le autorizzazioni, consulta la panoramica di IAM.
Ruoli predefiniti
La tabella seguente descrive i ruoli predefiniti di Network Connectivity Center.
Role | Permissions |
---|---|
Service Automation Consumer Network Admin( Service Automation Consumer Network Admin is responsible for setting up ServiceConnectionPolicies. |
|
Group User( Enables use access on group resources |
|
Hub & Spoke Admin( Enables full access to hub and spoke resources. Lowest-level resources where you can grant this role:
|
|
Hub & Spoke Viewer( Enables read-only access to hub and spoke resources. Lowest-level resources where you can grant this role:
|
|
Regional Endpoint Admin( Full access to all Regional Endpoint resources. |
|
Regional Endpoint Viewer( Read-only access to all Regional Endpoint resources. |
|
Service Class User( Service Class User uses a ServiceClass |
|
Service Automation Service Producer Admin( Service Automation Producer Admin uses information from a consumer request to manage ServiceClasses and ServiceConnectionMaps |
|
Spoke Admin( Enables full access to spoke resources and read-only access to hub resources. Lowest-level resources where you can grant this role:
|
|
Autorizzazioni aggiuntive richieste
A seconda delle azioni che devi intraprendere in Network Connectivity Center, potresti dover avere le autorizzazioni descritte nelle sezioni seguenti.
Autorizzazione per creare un raggio
Per creare un albero, devi disporre dell'autorizzazione per leggere il tipo di risorsa dell'albero. Ad esempio:
- Per gli spoke del tunnel VPN, gli spoke del collegamento VLAN e gli spoke dell'appliance router, hai bisogno di
compute.routers.get
. - Per creare spoke dell'appliance router, devi disporre di
compute.instances.get
. Inoltre, prima di poter utilizzare uno spoke dell'appliance router, devi configurare il peering tra il router Cloud e l'istanza dell'appliance router. Per stabilire il peering, devi disporre delle seguenti autorizzazioni:compute.instances.use
compute.routers.update
- Per creare spoke di collegamento VLAN, devi avere
compute.interconnectAttachments.get
. - Per creare spoke del tunnel VPN, devi disporre di
compute.vpnTunnels.get
. Per creare spoke VPC, devi disporre delle seguenti autorizzazioni:
compute.networks.use
compute.networks.get
Per creare spoke VPC in un progetto diverso dall'hub a cui è associato, hai bisogno di
networkconnectivity.groups.use
.
Autorizzazione per l'utilizzo di Network Connectivity Center nella console Google Cloud
Per utilizzare Network Connectivity Center nella console Google Cloud, devi avere un ruolo, ad esempio Visualizzatore della rete di Compute (roles/compute.networkViewer
), che includa le autorizzazioni descritte nella tabella seguente. Per utilizzare queste autorizzazioni, devi prima
creare un ruolo personalizzato.
Attività |
Autorizzazioni obbligatorie |
---|---|
Accedi alla pagina Network Connectivity Center |
|
Accedere e utilizzare la pagina Aggiungi spoke |
|
Aggiungi uno spoke del collegamento VLAN |
|
Aggiungi uno spoke del tunnel VPN |
|
Aggiungere uno spoke dell'appliance router |
|
Aggiungi uno spoke VPC |
|
Protezione delle risorse con Controlli di servizio VPC
Per proteggere ulteriormente le risorse di Network Connectivity Center, utilizza i Controlli di servizio VPC.
I Controlli di servizio VPC offrono alle tue risorse una maggiore sicurezza per contribuire a mitigare il rischio di esfiltrazione di dati. Utilizzando i Controlli di servizio VPC, puoi posizionare le risorse di Network Connectivity Center all'interno dei perimetri di servizio. Controlli di servizio VPC protegge quindi queste risorse dalle richieste provenienti dall'esterno del perimetro.
Per scoprire di più sui perimetri di servizio, consulta la pagina Configurazione del perimetro di servizio della documentazione dei Controlli di servizio VPC.
Passaggi successivi
Per ulteriori informazioni sui ruoli del progetto e sulle risorse Google Cloud, consulta la seguente documentazione:
- Per comprendere i ruoli e le autorizzazioni IAM, consulta Controllo dell'accesso per i progetti che utilizzano IAM.
- Per comprendere i tipi di ruoli, consulta Documentazione di riferimento dei ruoli di base e predefiniti di Identity and Access Management.
- Per informazioni sui ruoli predefiniti, consulta Ruoli e autorizzazioni IAM di Compute Engine.
- Per scoprire di più su Network Connectivity Center, consulta la panoramica di Network Connectivity Center.
- Per scoprire come gestire gli hub e gli spoke, consulta Utilizzare gli hub e gli spoke.