Peran dan izin

Halaman ini menjelaskan peran dan izin Identity and Access Management (IAM) yang diperlukan untuk menggunakan Network Connectivity Center.

Pada intinya, Anda perlu melakukan tindakan berikut:

Perhatikan bahwa jika Anda perlu menggunakan Network Connectivity Center di jaringan VPC Bersama, Anda harus memiliki semua izin yang diperlukan dalam project host. Hub, jari-jarinya, dan semua resource terkait harus berada dalam project host.

Untuk mengetahui informasi tentang cara memberikan izin, lihat ringkasan IAM.

Peran yang telah ditetapkan

Tabel berikut menjelaskan peran Network Connectivity Center yang telah ditetapkan.

Role Permissions

(roles/networkconnectivity.consumerNetworkAdmin)

Service Automation Consumer Network Admin is responsible for setting up ServiceConnectionPolicies.

networkconnectivity.serviceConnectionPolicies.*

  • networkconnectivity.serviceConnectionPolicies.create
  • networkconnectivity.serviceConnectionPolicies.delete
  • networkconnectivity.serviceConnectionPolicies.get
  • networkconnectivity.serviceConnectionPolicies.list
  • networkconnectivity.serviceConnectionPolicies.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkconnectivity.groupUser)

Enables use access on group resources

networkconnectivity.groups.use

(roles/networkconnectivity.hubAdmin)

Enables full access to hub and spoke resources.

Lowest-level resources where you can grant this role:

  • Project

networkconnectivity.groups.*

  • networkconnectivity.groups.acceptSpoke
  • networkconnectivity.groups.get
  • networkconnectivity.groups.getIamPolicy
  • networkconnectivity.groups.list
  • networkconnectivity.groups.rejectSpoke
  • networkconnectivity.groups.setIamPolicy
  • networkconnectivity.groups.use

networkconnectivity.hubRouteTables.*

  • networkconnectivity.hubRouteTables.get
  • networkconnectivity.hubRouteTables.getIamPolicy
  • networkconnectivity.hubRouteTables.list
  • networkconnectivity.hubRouteTables.setIamPolicy

networkconnectivity.hubRoutes.*

  • networkconnectivity.hubRoutes.get
  • networkconnectivity.hubRoutes.getIamPolicy
  • networkconnectivity.hubRoutes.list
  • networkconnectivity.hubRoutes.setIamPolicy

networkconnectivity.hubs.*

  • networkconnectivity.hubs.create
  • networkconnectivity.hubs.delete
  • networkconnectivity.hubs.get
  • networkconnectivity.hubs.getIamPolicy
  • networkconnectivity.hubs.list
  • networkconnectivity.hubs.listSpokes
  • networkconnectivity.hubs.queryStatus
  • networkconnectivity.hubs.setIamPolicy
  • networkconnectivity.hubs.update

networkconnectivity.locations.*

  • networkconnectivity.locations.get
  • networkconnectivity.locations.list

networkconnectivity.operations.*

  • networkconnectivity.operations.cancel
  • networkconnectivity.operations.delete
  • networkconnectivity.operations.get
  • networkconnectivity.operations.list

networkconnectivity.spokes.*

  • networkconnectivity.spokes.create
  • networkconnectivity.spokes.delete
  • networkconnectivity.spokes.get
  • networkconnectivity.spokes.getIamPolicy
  • networkconnectivity.spokes.list
  • networkconnectivity.spokes.setIamPolicy
  • networkconnectivity.spokes.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkconnectivity.hubViewer)

Enables read-only access to hub and spoke resources.

Lowest-level resources where you can grant this role:

  • Project

networkconnectivity.groups.get

networkconnectivity.groups.getIamPolicy

networkconnectivity.groups.list

networkconnectivity.hubRouteTables.get

networkconnectivity.hubRouteTables.getIamPolicy

networkconnectivity.hubRouteTables.list

networkconnectivity.hubRoutes.get

networkconnectivity.hubRoutes.getIamPolicy

networkconnectivity.hubRoutes.list

networkconnectivity.hubs.get

networkconnectivity.hubs.getIamPolicy

networkconnectivity.hubs.list

networkconnectivity.hubs.listSpokes

networkconnectivity.hubs.queryStatus

networkconnectivity.locations.*

  • networkconnectivity.locations.get
  • networkconnectivity.locations.list

networkconnectivity.spokes.get

networkconnectivity.spokes.getIamPolicy

networkconnectivity.spokes.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkconnectivity.regionalEndpointAdmin)

Full access to all Regional Endpoint resources.

networkconnectivity.regionalEndpoints.*

  • networkconnectivity.regionalEndpoints.create
  • networkconnectivity.regionalEndpoints.delete
  • networkconnectivity.regionalEndpoints.get
  • networkconnectivity.regionalEndpoints.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkconnectivity.regionalEndpointViewer)

Read-only access to all Regional Endpoint resources.

networkconnectivity.regionalEndpoints.get

networkconnectivity.regionalEndpoints.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkconnectivity.serviceClassUser)

Service Class User uses a ServiceClass

networkconnectivity.serviceClasses.get

networkconnectivity.serviceClasses.list

networkconnectivity.serviceClasses.use

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkconnectivity.serviceProducerAdmin)

Service Automation Producer Admin uses information from a consumer request to manage ServiceClasses and ServiceConnectionMaps

networkconnectivity.operations.get

networkconnectivity.operations.list

networkconnectivity.serviceClasses.*

  • networkconnectivity.serviceClasses.create
  • networkconnectivity.serviceClasses.delete
  • networkconnectivity.serviceClasses.get
  • networkconnectivity.serviceClasses.list
  • networkconnectivity.serviceClasses.update
  • networkconnectivity.serviceClasses.use

networkconnectivity.serviceConnectionMaps.*

  • networkconnectivity.serviceConnectionMaps.create
  • networkconnectivity.serviceConnectionMaps.delete
  • networkconnectivity.serviceConnectionMaps.get
  • networkconnectivity.serviceConnectionMaps.list
  • networkconnectivity.serviceConnectionMaps.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkconnectivity.spokeAdmin)

Enables full access to spoke resources and read-only access to hub resources.

Lowest-level resources where you can grant this role:

  • Project

networkconnectivity.hubRouteTables.get

networkconnectivity.hubRouteTables.getIamPolicy

networkconnectivity.hubRouteTables.list

networkconnectivity.hubRoutes.get

networkconnectivity.hubRoutes.getIamPolicy

networkconnectivity.hubRoutes.list

networkconnectivity.hubs.get

networkconnectivity.hubs.getIamPolicy

networkconnectivity.hubs.list

networkconnectivity.locations.*

  • networkconnectivity.locations.get
  • networkconnectivity.locations.list

networkconnectivity.operations.get

networkconnectivity.operations.list

networkconnectivity.spokes.*

  • networkconnectivity.spokes.create
  • networkconnectivity.spokes.delete
  • networkconnectivity.spokes.get
  • networkconnectivity.spokes.getIamPolicy
  • networkconnectivity.spokes.list
  • networkconnectivity.spokes.setIamPolicy
  • networkconnectivity.spokes.update

resourcemanager.projects.get

resourcemanager.projects.list

Izin tambahan yang diperlukan

Bergantung pada tindakan yang perlu dilakukan di Network Connectivity Center, Anda mungkin memerlukan izin yang dijelaskan di bagian berikut.

Izin untuk membuat spoke

Untuk membuat spoke, Anda harus memiliki izin untuk membaca jenis resource spoke. Contoh:

  • Untuk jari-jari tunnel VPN, jari-jari lampiran VLAN, dan jari-jari perangkat router, Anda memerlukan compute.routers.get.
  • Untuk membuat jari-jari peralatan router, Anda memerlukan compute.instances.get. Selain itu, sebelum dapat menggunakan router perangkat router, Anda harus menyiapkan peering antara Cloud Router dan instance perangkat router. Untuk membuat peering, Anda memerlukan izin berikut:
    • compute.instances.use
    • compute.routers.update
  • Untuk membuat jari-jari lampiran VLAN, Anda memerlukan compute.interconnectAttachments.get.
  • Untuk membuat jari-jari tunnel VPN, Anda memerlukan compute.vpnTunnels.get.
  • Untuk membuat jari-jari VPC, Anda memerlukan izin berikut:

    • compute.networks.use
    • compute.networks.get
  • Untuk membuat jari-jari VPC di project yang berbeda dari hub yang terkait, Anda memerlukan networkconnectivity.groups.use.

Izin untuk menggunakan Network Connectivity Center di Google Cloud Console

Untuk menggunakan Network Connectivity Center di Google Cloud Console, Anda memerlukan peran—seperti Viewer Jaringan Compute (roles/compute.networkViewer )—yang mencakup izin yang dijelaskan dalam tabel berikut. Untuk menggunakan izin ini, Anda harus membuat peran khusus terlebih dahulu.

Tugas

Izin yang diperlukan

Mengakses halaman Network Connectivity Center
  • compute.projects.get
  • compute.networks.get
Mengakses dan menggunakan halaman Tambahkan jari-jari
  • compute.networks.list
  • compute.regions.list
  • compute.routers.list
  • compute.zones.list
  • compute.networks.get
Tambahkan jari lampiran VLAN
  • compute.interconnectAttachments.list
  • compute.interconnectAttachments.get
  • compute.networks.get
  • compute.routers.list
  • compute.routers.get
Menambahkan spoke tunnel VPN
  • compute.forwardingRules.list
  • compute.networks.get
  • compute.routers.get
  • compute.routers.list
  • compute.targetVpnGateways.list
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
Menambahkan spoke perangkat Router
  • compute.instances.list
  • compute.instances.get
  • compute.networks.get
Menambahkan spoke VPC
  • compute.networks.use
  • compute.networks.get
  • compute.subnetworks.list

Melindungi resource dengan Kontrol Layanan VPC

Untuk lebih mengamankan resource Network Connectivity Center, gunakan Kontrol Layanan VPC.

Kontrol Layanan VPC memberi resource Anda keamanan tambahan untuk membantu mengurangi risiko pemindahan data yang tidak sah. Dengan menggunakan Kontrol Layanan VPC, Anda dapat menempatkan resource Network Connectivity Center di dalam perimeter layanan. Kontrol Layanan VPC kemudian melindungi resource ini dari permintaan yang berasal dari luar perimeter.

Untuk mempelajari perimeter layanan lebih lanjut, lihat halaman Konfigurasi perimeter layanan dalam dokumentasi Kontrol Layanan VPC.

Langkah selanjutnya

Untuk mengetahui informasi selengkapnya tentang peran project dan resource Google Cloud, lihat dokumentasi berikut: