En esta página, se describen las funciones y los permisos de Identity and Access Management (IAM) necesarios para usar Network Connectivity Center.
En un alto nivel, necesitas lo siguiente:
- Permisos de Network Connectivity Center predefinidos, que se describen en Funciones predefinidas.
- Los permisos adicionales son los siguientes:
- Si deseas crear radios, necesitas permiso para leer los tipos de recursos de radio relevantes, como se describe en Permiso para crear un radio.
- Si quieres trabajar con Network Connectivity Center en la consola de Google Cloud, necesitas permiso para ver ciertos recursos de red de nube privada virtual (VPC), como se describe en Permiso para usar Network Connectivity Center en el la consola de Google Cloud.
Ten en cuenta que, si necesitas trabajar con Network Connectivity Center en una red de VPC compartida, debes tener todos los permisos necesarios en el proyecto host. Un concentrador, sus radios y todos los recursos relacionados deben encontrarse en el proyecto host.
Si deseas obtener información para otorgar permisos, consulta la descripción general de IAM.
Funciones predefinidas
En la siguiente tabla, se describen las funciones predefinidas de Network Connectivity Center.
Role | Permissions |
---|---|
Service Automation Consumer Network Admin( Service Automation Consumer Network Admin is responsible for setting up ServiceConnectionPolicies. |
|
Group User( Enables use access on group resources |
|
Hub & Spoke Admin( Enables full access to hub and spoke resources. Lowest-level resources where you can grant this role:
|
|
Hub & Spoke Viewer( Enables read-only access to hub and spoke resources. Lowest-level resources where you can grant this role:
|
|
Regional Endpoint Admin( Full access to all Regional Endpoint resources. |
|
Regional Endpoint Viewer( Read-only access to all Regional Endpoint resources. |
|
Service Class User( Service Class User uses a ServiceClass |
|
Service Automation Service Producer Admin( Service Automation Producer Admin uses information from a consumer request to manage ServiceClasses and ServiceConnectionMaps |
|
Spoke Admin( Enables full access to spoke resources and read-only access to hub resources. Lowest-level resources where you can grant this role:
|
|
Permisos adicionales requeridos
Según las acciones que debas realizar en Network Connectivity Center, es posible que necesites permisos adicionales, como se describe en las siguientes secciones.
Permiso para crear un radio
Si quieres crear un radio, debes tener permiso para leer el tipo de recurso del radio. Por ejemplo:
- Para los radios de túnel VPN, los radios de adjuntos de VLAN y los radios de dispositivos de router, necesitas
compute.routers.get
. - Para crear radios de dispositivos de router, necesitas
compute.instances.get
. Además, antes de poder usar un radio de un dispositivo router, debes configurar el intercambio de tráfico entre Cloud Router y la instancia del dispositivo del router. Para establecer el intercambio de tráfico, necesitas los siguientes permisos:compute.instances.use
compute.routers.update
- Para crear radios de adjuntos de VLAN, necesitas
compute.interconnectAttachments.get
. - Para crear radios de túnel VPN, necesitas
compute.vpnTunnels.get
. Para crear radios de VPC, necesitas los siguientes permisos:
compute.networks.use
compute.networks.get
Para crear radios de VPC en un proyecto diferente del concentrador con el que está asociado, necesitas
networkconnectivity.groups.use
.
Permiso para usar Network Connectivity Center en la consola de Google Cloud
Para usar Network Connectivity Center en la consola de Google Cloud, necesitas un rol, como Visualizador de red de Compute (roles/compute.networkViewer
), que incluye los permisos descritos en la siguiente tabla. Para usar estos permisos, primero debes crear un rol personalizado.
Tarea |
Permisos necesarios |
---|---|
Accede a la página de Network Connectivity Center |
|
Accede a la página de Agregar radios y úsala |
|
Agrega un radio de adjunto de VLAN |
|
Agrega un radio de túnel VPN |
|
Agrega un radio de dispositivo de router |
|
Agrega un radio de VPC |
|
Protege recursos con los controles del servicio de VPC
Para proteger aún más los recursos de Network Connectivity Center, usa los Controles del servicio de VPC.
Los Controles del servicio de VPC brindan seguridad adicional a tus recursos para mitigar el riesgo de robo de datos. Mediante los Controles del servicio de VPC, puedes colocar los recursos de Network Connectivity Center dentro de los perímetros de servicio. Luego, los Controles del servicio de VPC protegen estos recursos de las solicitudes que se originan fuera del perímetro.
Para obtener más información sobre los perímetros de servicio, consulta la página de configuración del perímetro de servicio en la documentación de los Controles del servicio de VPC.
¿Qué sigue?
Para obtener más información sobre los roles de proyecto y los recursos de Google Cloud, consulta la siguiente documentación:
- Para comprender los roles y los permisos de IAM, consulta Control de acceso para proyectos mediante IAM.
- Para comprender los tipos de roles, consulta Referencia de los roles básicos y predefinidos de la administración de identidades y accesos.
- Para obtener información sobre los roles predefinidos, consulta Roles y permisos de IAM de Compute Engine.
- Para obtener más información sobre Network Connectivity Center, consulta Descripción general de Network Connectivity Center.
- Si deseas obtener información para administrar concentradores y radios, consulta Trabaja con concentradores y radios.