Rollen und Berechtigungen

Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) und Berechtigungen beschrieben, die für die Verwendung von Network Connectivity Center erforderlich sind.

Auf übergeordneter Ebene führen Sie diese Schritte aus:

Wenn Sie mit dem Network Connectivity Center in einem freigegebenen VPC-Netzwerk arbeiten müssen, benötigen Sie alle erforderlichen Berechtigungen im Hostprojekt. Ein Hub, seine Spokes und alle zugehörigen Ressourcen müssen sich in dem Host-Projekt befinden.

Informationen zum Gewähren von Berechtigungen finden Sie in der IAM-Übersicht.

Vordefinierte Rollen

In der folgenden Tabelle werden die vordefinierten Rollen für Network Connectivity Center beschrieben.

Role Permissions

(roles/networkconnectivity.consumerNetworkAdmin)

Service Automation Consumer Network Admin is responsible for setting up ServiceConnectionPolicies.

networkconnectivity.serviceConnectionPolicies.*

  • networkconnectivity.serviceConnectionPolicies.create
  • networkconnectivity.serviceConnectionPolicies.delete
  • networkconnectivity.serviceConnectionPolicies.get
  • networkconnectivity.serviceConnectionPolicies.list
  • networkconnectivity.serviceConnectionPolicies.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkconnectivity.groupUser)

Enables use access on group resources

networkconnectivity.groups.use

(roles/networkconnectivity.hubAdmin)

Enables full access to hub and spoke resources.

Lowest-level resources where you can grant this role:

  • Project

networkconnectivity.groups.*

  • networkconnectivity.groups.acceptSpoke
  • networkconnectivity.groups.get
  • networkconnectivity.groups.getIamPolicy
  • networkconnectivity.groups.list
  • networkconnectivity.groups.rejectSpoke
  • networkconnectivity.groups.setIamPolicy
  • networkconnectivity.groups.use

networkconnectivity.hubRouteTables.*

  • networkconnectivity.hubRouteTables.get
  • networkconnectivity.hubRouteTables.getIamPolicy
  • networkconnectivity.hubRouteTables.list
  • networkconnectivity.hubRouteTables.setIamPolicy

networkconnectivity.hubRoutes.*

  • networkconnectivity.hubRoutes.get
  • networkconnectivity.hubRoutes.getIamPolicy
  • networkconnectivity.hubRoutes.list
  • networkconnectivity.hubRoutes.setIamPolicy

networkconnectivity.hubs.*

  • networkconnectivity.hubs.create
  • networkconnectivity.hubs.delete
  • networkconnectivity.hubs.get
  • networkconnectivity.hubs.getIamPolicy
  • networkconnectivity.hubs.list
  • networkconnectivity.hubs.listSpokes
  • networkconnectivity.hubs.queryStatus
  • networkconnectivity.hubs.setIamPolicy
  • networkconnectivity.hubs.update

networkconnectivity.locations.*

  • networkconnectivity.locations.get
  • networkconnectivity.locations.list

networkconnectivity.operations.*

  • networkconnectivity.operations.cancel
  • networkconnectivity.operations.delete
  • networkconnectivity.operations.get
  • networkconnectivity.operations.list

networkconnectivity.spokes.*

  • networkconnectivity.spokes.create
  • networkconnectivity.spokes.delete
  • networkconnectivity.spokes.get
  • networkconnectivity.spokes.getIamPolicy
  • networkconnectivity.spokes.list
  • networkconnectivity.spokes.setIamPolicy
  • networkconnectivity.spokes.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkconnectivity.hubViewer)

Enables read-only access to hub and spoke resources.

Lowest-level resources where you can grant this role:

  • Project

networkconnectivity.groups.get

networkconnectivity.groups.getIamPolicy

networkconnectivity.groups.list

networkconnectivity.hubRouteTables.get

networkconnectivity.hubRouteTables.getIamPolicy

networkconnectivity.hubRouteTables.list

networkconnectivity.hubRoutes.get

networkconnectivity.hubRoutes.getIamPolicy

networkconnectivity.hubRoutes.list

networkconnectivity.hubs.get

networkconnectivity.hubs.getIamPolicy

networkconnectivity.hubs.list

networkconnectivity.hubs.listSpokes

networkconnectivity.hubs.queryStatus

networkconnectivity.locations.*

  • networkconnectivity.locations.get
  • networkconnectivity.locations.list

networkconnectivity.spokes.get

networkconnectivity.spokes.getIamPolicy

networkconnectivity.spokes.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkconnectivity.regionalEndpointAdmin)

Full access to all Regional Endpoint resources.

networkconnectivity.regionalEndpoints.*

  • networkconnectivity.regionalEndpoints.create
  • networkconnectivity.regionalEndpoints.delete
  • networkconnectivity.regionalEndpoints.get
  • networkconnectivity.regionalEndpoints.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkconnectivity.regionalEndpointViewer)

Read-only access to all Regional Endpoint resources.

networkconnectivity.regionalEndpoints.get

networkconnectivity.regionalEndpoints.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkconnectivity.serviceClassUser)

Service Class User uses a ServiceClass

networkconnectivity.serviceClasses.get

networkconnectivity.serviceClasses.list

networkconnectivity.serviceClasses.use

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkconnectivity.serviceProducerAdmin)

Service Automation Producer Admin uses information from a consumer request to manage ServiceClasses and ServiceConnectionMaps

networkconnectivity.operations.get

networkconnectivity.operations.list

networkconnectivity.serviceClasses.*

  • networkconnectivity.serviceClasses.create
  • networkconnectivity.serviceClasses.delete
  • networkconnectivity.serviceClasses.get
  • networkconnectivity.serviceClasses.list
  • networkconnectivity.serviceClasses.update
  • networkconnectivity.serviceClasses.use

networkconnectivity.serviceConnectionMaps.*

  • networkconnectivity.serviceConnectionMaps.create
  • networkconnectivity.serviceConnectionMaps.delete
  • networkconnectivity.serviceConnectionMaps.get
  • networkconnectivity.serviceConnectionMaps.list
  • networkconnectivity.serviceConnectionMaps.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkconnectivity.spokeAdmin)

Enables full access to spoke resources and read-only access to hub resources.

Lowest-level resources where you can grant this role:

  • Project

networkconnectivity.hubRouteTables.get

networkconnectivity.hubRouteTables.getIamPolicy

networkconnectivity.hubRouteTables.list

networkconnectivity.hubRoutes.get

networkconnectivity.hubRoutes.getIamPolicy

networkconnectivity.hubRoutes.list

networkconnectivity.hubs.get

networkconnectivity.hubs.getIamPolicy

networkconnectivity.hubs.list

networkconnectivity.locations.*

  • networkconnectivity.locations.get
  • networkconnectivity.locations.list

networkconnectivity.operations.get

networkconnectivity.operations.list

networkconnectivity.spokes.*

  • networkconnectivity.spokes.create
  • networkconnectivity.spokes.delete
  • networkconnectivity.spokes.get
  • networkconnectivity.spokes.getIamPolicy
  • networkconnectivity.spokes.list
  • networkconnectivity.spokes.setIamPolicy
  • networkconnectivity.spokes.update

resourcemanager.projects.get

resourcemanager.projects.list

Zusätzliche erforderliche Berechtigungen

Abhängig davon, welche Aktionen Sie im Network Connectivity Center ausführen müssen, benötigen Sie möglicherweise Berechtigungen, wie in den folgenden Abschnitten beschrieben.

Berechtigung zum Erstellen eines Spokes

Für das Erstellen eines Spokes benötigen Sie die Berechtigung zum Lesen des Ressourcentyps des Spokes. Beispiel:

  • Für VPN-Tunnel-Spokes, VLAN-Anhangs-Spokes und Router-Appliance-Spokes benötigen Sie compute.routers.get.
  • Zum Erstellen von Router-Appliance-Spokes benötigen Sie compute.instances.get. Bevor Sie einen Router-Appliance-Spoke verwenden können, müssen Sie auch das Peering zwischen dem Cloud Router und der Router-Appliance-Instanz einrichten. Zum Einrichten des Peerings benötigen Sie die folgenden Berechtigungen:
    • compute.instances.use
    • compute.routers.update
  • Zum Erstellen von Spokes für VLAN-Anhänge benötigen Sie compute.interconnectAttachments.get.
  • Zum Erstellen von VPN-Tunnel-Spokes benötigen Sie compute.vpnTunnels.get.

  • Zum Erstellen von VPC-Spokes benötigen Sie die folgenden Berechtigungen:

    • compute.networks.use
    • compute.networks.get

  • Sie benötigen networkconnectivity.groups.use, um VPC-Spokes in einem anderen Projekt als dem Hub zu erstellen, mit dem es verknüpft ist.

Berechtigung zur Verwendung von Network Connectivity Center in der Google Cloud Console

Wenn Sie das Network Connectivity Center in der Google Cloud Console verwenden möchten, benötigen Sie eine Rolle, z. B. Compute-Netzwerkbetrachter (roles/compute.networkViewer ) einschließlich der in der folgenden Tabelle beschriebenen Berechtigungen. Wenn Sie diese Berechtigungen verwenden möchten, müssen Sie zuerst eine benutzerdefinierte Rolle erstellen.

Task

Erforderliche Berechtigungen
Seite Network Connectivity Center aufrufen
  • compute.projects.get
  • compute.networks.get
Auf die Seite Spokes zugreifen und verwenden
  • compute.networks.list
  • compute.regions.list
  • compute.routers.list
  • compute.zones.list
  • compute.networks.get
Spoke für VLAN-Anhang hinzufügen
  • compute.interconnectAttachments.list
  • compute.interconnectAttachments.get
  • compute.networks.get
  • compute.routers.list
  • compute.routers.get
VPN-Tunnel-Spoke hinzufügen
  • compute.forwardingRules.list
  • compute.networks.get
  • compute.routers.get
  • compute.routers.list
  • compute.targetVpnGateways.list
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
Router-Appliance-Spoke hinzufügen
  • compute.instances.list
  • compute.instances.get
  • compute.networks.get
VPC-Spoke hinzufügen
  • compute.networks.use
  • compute.networks.get
  • compute.subnetworks.list

Ressourcen mit VPC Service Controls schützen

Mit VPC Service Controls können Sie Ihre Network Connectivity Center-Ressourcen zusätzlich sichern.

VPC Service Controls bietet Ihre Ressourcen mit zusätzlicher Sicherheit, um das Risiko der Daten-Exfiltration zu verringern. Mithilfe von VPC Service Controls können Sie Network Connectivity Center-Ressourcen innerhalb von Dienstperimetern platzieren. VPC Service Controls schützt diese Ressourcen dann vor Anfragen, die von außerhalb des Perimeters stammen.

Weitere Informationen zu Dienstperimetern finden Sie in der Dokumentation zu VPC Service Controls auf der Konfigurationsseite für Dienstperimeter.

Nächste Schritte

Weitere Informationen zu Projektrollen und Google Cloud-Ressourcen finden Sie in der folgenden Dokumentation: