Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) und Berechtigungen beschrieben, die für die Verwendung von Network Connectivity Center erforderlich sind.
Auf übergeordneter Ebene führen Sie diese Schritte aus:
- Vordefinierte Network Connectivity Center-Berechtigungen, die unter Vordefinierte Rollen beschrieben werden.
- Folgende zusätzliche Berechtigungen:
- Zum Erstellen von Spokes benötigen Sie die entsprechenden Spoke-Ressourcentypen, wie unter Spoke erstellen beschrieben.
- Damit Sie in der Google Cloud Console mit dem Network Connectivity Center arbeiten können, benötigen Sie die Berechtigung zum Aufrufen bestimmter VPC-Netzwerkressourcen (Virtual Private Cloud), wie unter Berechtigung zur Verwendung von Network Connectivity Center in der Google Cloud Console beschrieben.
Wenn Sie mit dem Network Connectivity Center in einem freigegebenen VPC-Netzwerk arbeiten müssen, benötigen Sie alle erforderlichen Berechtigungen im Hostprojekt. Ein Hub, seine Spokes und alle zugehörigen Ressourcen müssen sich in dem Host-Projekt befinden.
Informationen zum Gewähren von Berechtigungen finden Sie in der IAM-Übersicht.
Vordefinierte Rollen
In der folgenden Tabelle werden die vordefinierten Rollen für Network Connectivity Center beschrieben.
| Role | Permissions |
|---|---|
Service Automation Consumer Network Admin( Service Automation Consumer Network Admin is responsible for setting up ServiceConnectionPolicies. |
|
Group User( Enables use access on group resources |
|
Hub & Spoke Admin( Enables full access to hub and spoke resources. Lowest-level resources where you can grant this role:
|
|
Hub & Spoke Viewer( Enables read-only access to hub and spoke resources. Lowest-level resources where you can grant this role:
|
|
Regional Endpoint Admin Beta( Full access to all Regional Endpoint resources. |
|
Regional Endpoint Viewer Beta( Read-only access to all Regional Endpoint resources. |
|
Service Class User( Service Class User uses a ServiceClass |
|
Service Automation Service Producer Admin( Service Automation Producer Admin uses information from a consumer request to manage ServiceClasses and ServiceConnectionMaps |
|
Spoke Admin( Enables full access to spoke resources and read-only access to hub resources. Lowest-level resources where you can grant this role:
|
|
Zusätzliche erforderliche Berechtigungen
Abhängig davon, welche Aktionen Sie im Network Connectivity Center ausführen müssen, benötigen Sie möglicherweise Berechtigungen, wie in den folgenden Abschnitten beschrieben.
Berechtigung zum Erstellen eines Spokes
Für das Erstellen eines Spokes benötigen Sie die Berechtigung zum Lesen des Ressourcentyps des Spokes. Beispiel:
- Für VPN-Tunnel-Spokes, VLAN-Anhangs-Spokes und Router-Appliance-Spokes benötigen Sie
compute.routers.get. - Zum Erstellen von Router-Appliance-Spokes benötigen Sie
compute.instances.get. Bevor Sie einen Router-Appliance-Spoke verwenden können, müssen Sie auch das Peering zwischen dem Cloud Router und der Router-Appliance-Instanz einrichten. Zum Einrichten des Peerings benötigen Sie die folgenden Berechtigungen:compute.instances.usecompute.routers.update
- Zum Erstellen von Spokes für VLAN-Anhänge benötigen Sie
compute.interconnectAttachments.get. - Zum Erstellen von VPN-Tunnel-Spokes benötigen Sie
compute.vpnTunnels.get. Zum Erstellen von VPC-Spokes benötigen Sie die folgenden Berechtigungen:
compute.networks.usecompute.networks.get
Sie benötigen
networkconnectivity.groups.use, um VPC-Spokes in einem anderen Projekt als dem Hub zu erstellen, mit dem es verknüpft ist.
Berechtigung zur Verwendung von Network Connectivity Center in der Google Cloud Console
Wenn Sie das Network Connectivity Center in der Google Cloud Console verwenden möchten, benötigen Sie eine Rolle, z. B. Compute-Netzwerkbetrachter (roles/compute.networkViewer ) einschließlich der in der folgenden Tabelle beschriebenen Berechtigungen. Wenn Sie diese Berechtigungen verwenden möchten, müssen Sie zuerst eine benutzerdefinierte Rolle erstellen.
Task |
Erforderliche Berechtigungen |
|---|---|
| Seite Network Connectivity Center aufrufen |
|
| Auf die Seite Spokes zugreifen und verwenden |
|
| Spoke für VLAN-Anhang hinzufügen |
|
| VPN-Tunnel-Spoke hinzufügen |
|
| Router-Appliance-Spoke hinzufügen |
|
| VPC-Spoke hinzufügen |
|
Ressourcen mit VPC Service Controls schützen
Mit VPC Service Controls können Sie Ihre Network Connectivity Center-Ressourcen zusätzlich sichern.
VPC Service Controls bietet Ihre Ressourcen mit zusätzlicher Sicherheit, um das Risiko der Daten-Exfiltration zu verringern. Mithilfe von VPC Service Controls können Sie Network Connectivity Center-Ressourcen innerhalb von Dienstperimetern platzieren. VPC Service Controls schützt diese Ressourcen dann vor Anfragen, die von außerhalb des Perimeters stammen.
Weitere Informationen zu Dienstperimetern finden Sie in der Dokumentation zu VPC Service Controls auf der Konfigurationsseite für Dienstperimeter.
Nächste Schritte
Weitere Informationen zu Projektrollen und Google Cloud-Ressourcen finden Sie in der folgenden Dokumentation:
- Informationen zu IAM-Rollen und -Berechtigungen finden Sie unter Zugriffssteuerung für Projekte mit IAM.
- Informationen zu Rollentypen finden Sie in der Referenz zu einfachen und vordefinierten Rollen von Identity and Access Management.
- Informationen zu vordefinierten Rollen finden Sie unter Compute Engine-IAM-Rollen und -Berechtigungen.
- Informationen zum Network Connectivity Center finden Sie unter Network Connectivity Center – Übersicht.
- Informationen zum Verwalten von Hubs und Spokes finden Sie unter Mit Hubs und Spokes arbeiten.