Nesta página, descrevemos os papéis e as permissões do Identity and Access Management (IAM, na sigla em inglês) necessários para usar o Network Connectivity Center.
Em geral, você precisa de:
- permissões predefinidas do Network Connectivity Center, descritas em Papéis predefinidos;
- Permissões adicionais da seguinte maneira:
- Para criar spokes, é necessário ter permissão para ler os tipos de recursos de spoke relevantes, conforme descrito em Permissão para criar um spoke.
- Para trabalhar com o Network Connectivity Center no console do Google Cloud, é preciso ter permissão para ver determinados recursos de rede da nuvem privada virtual (VPC, na sigla em inglês), conforme descrito em Permissão para usar o Network Connectivity Center no console do Google Cloud.
Se precisar trabalhar com o Network Connectivity Center em uma rede VPC compartilhada, você precisará ter todas as permissões necessárias no projeto host. Um hub, os spokes dele e todos os recursos relacionados precisam estar no projeto host.
Para mais informações sobre como conceder permissões, consulte a visão geral do IAM.
Papéis predefinidos
A tabela a seguir descreve os papéis predefinidos do Network Connectivity Center.
Role | Permissions |
---|---|
Service Automation Consumer Network Admin( Service Automation Consumer Network Admin is responsible for setting up ServiceConnectionPolicies. |
|
Group User( Enables use access on group resources |
|
Hub & Spoke Admin( Enables full access to hub and spoke resources. Lowest-level resources where you can grant this role:
|
|
Hub & Spoke Viewer( Enables read-only access to hub and spoke resources. Lowest-level resources where you can grant this role:
|
|
Regional Endpoint Admin( Full access to all Regional Endpoint resources. |
|
Regional Endpoint Viewer( Read-only access to all Regional Endpoint resources. |
|
Service Class User( Service Class User uses a ServiceClass |
|
Service Automation Service Producer Admin( Service Automation Producer Admin uses information from a consumer request to manage ServiceClasses and ServiceConnectionMaps |
|
Spoke Admin( Enables full access to spoke resources and read-only access to hub resources. Lowest-level resources where you can grant this role:
|
|
Outras permissões obrigatórias
Dependendo do que você precisa fazer no Network Connectivity Center, talvez precise das permissões descritas nas seções a seguir.
Permissão para criar um spoke
Para criar um spoke, você precisa ter permissão para ler o tipo de recurso do spoke. Exemplo:
- Para spokes de túnel VPN, anexos de VLAN e spokes do dispositivo roteador, você precisa de
compute.routers.get
. - Para criar spokes do dispositivo do Router, você precisa de
compute.instances.get
. Além disso, antes de usar um spoke do dispositivo do Router, você precisa configurar o peering entre o Cloud Router e a instância do appliance do roteador. Para estabelecer o peering, você precisa das seguintes permissões:compute.instances.use
compute.routers.update
- Para criar spokes de anexos da VLAN, você precisa de
compute.interconnectAttachments.get
. - Para criar spokes de túnel de VPN, você precisa de
compute.vpnTunnels.get
. Para criar spokes de VPC, você precisa das seguintes permissões:
compute.networks.use
compute.networks.get
Para criar spokes de VPC em um projeto diferente do hub ao qual ele está associado, você precisa de
networkconnectivity.groups.use
.
Permissão para usar o Network Connectivity Center no console do Google Cloud
Para usar o Network Connectivity Center no console do Google Cloud, você precisa
de um papel como
Visualizador de rede do Compute
(roles/compute.networkViewer
), que inclui as permissões descritas
na tabela a seguir. Para usar essas permissões, é necessário primeiro criar um papel personalizado.
Tarefa |
Permissões necessárias |
---|---|
Acessar a página Network Connectivity Center |
|
Acessar e usar a página Adicionar spokes |
|
Adicionar um spoke de anexo da VLAN |
|
Adicionar um spoke do túnel VPN |
|
Adicionar um spoke do dispositivo roteador |
|
Adicionar um spoke VPC |
|
Como proteger recursos com o VPC Service Controls
Para proteger ainda mais os recursos do Network Connectivity Center, use o VPC Service Controls.
O VPC Service Controls oferece mais segurança aos recursos para ajudar a reduzir o risco de exfiltração de dados. Ao usar o VPC Service Controls, é possível colocar os recursos do Network Connectivity Center dentro dos perímetros de serviço. O VPC Service Controls protege esses recursos de solicitações originadas fora do perímetro.
Para mais informações sobre perímetros de serviço, consulte a página de configuração do perímetro de serviço na documentação do VPC Service Controls.
A seguir
Para mais informações sobre papéis do projeto e recursos do Google Cloud, consulte a seguinte documentação:
- Para entender os papéis e as permissões do IAM, consulte Controle de acesso para projetos que usam o IAM.
- Para entender os tipos de papéis, consulte Referência dos papéis básicos e predefinidos do Identity and Access Management.
- Para saber mais sobre papéis predefinidos, consulte Papéis e permissões de IAM do Compute Engine.
- Para saber mais sobre o Network Connectivity Center, consulte Visão geral do Network Connectivity Center.
- Para saber como gerenciar hubs e spokes, consulte Trabalhar com hubs e spokes.