Control de acceso

En esta página, se describen las funciones y los permisos de Identity and Access Management (IAM) necesarios para usar Network Connectivity Center.

En un alto nivel, necesitas lo siguiente:

Ten en cuenta que, si necesitas trabajar con Network Connectivity Center en una red de VPC compartida, debes tener todos los permisos necesarios en el proyecto host. Un concentrador, sus radios y todos los recursos relacionados deben encontrarse en el proyecto host.

Si deseas obtener información para otorgar permisos, consulta la descripción general de IAM.

Funciones predefinidas

En la siguiente tabla, se describen las funciones predefinidas de Network Connectivity Center.

Función Permisos

Administrador de Hub y Spoke
(roles/networkconnectivity.hubAdmin)

Otorga acceso completo a los recursos de concentradores y radios.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • networkconnectivity.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de Hub y Spoke
(roles/networkconnectivity.hubViewer)

Otorga acceso de solo lectura a los recursos de Hub y Spoke.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • networkconnectivity.hubs.get
  • networkconnectivity.hubs.getIamPolicy
  • networkconnectivity.hubs.list
  • networkconnectivity.locations.*
  • networkconnectivity.spokes.get
  • networkconnectivity.spokes.getIamPolicy
  • networkconnectivity.spokes.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Administrador de Spoke
(roles/networkconnectivity.spokeAdmin)

Habilita acceso completo a los recursos de radio y acceso de solo lectura a los recursos de Hub.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • networkconnectivity.hubs.get
  • networkconnectivity.hubs.getIamPolicy
  • networkconnectivity.hubs.list
  • networkconnectivity.locations.*
  • networkconnectivity.operations.get
  • networkconnectivity.operations.list
  • networkconnectivity.spokes.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Permisos adicionales requeridos

Según las acciones que debas realizar en Network Connectivity Center, es posible que necesites permisos adicionales, como se describe en las siguientes secciones.

Permiso para crear un radio

Si quieres crear un radio, debes tener permiso para leer el tipo de recurso del radio. Por ejemplo:

  • Para todos los tipos de recursos, necesitas compute.routers.get.
  • Para crear radios de dispositivos de router, necesitas compute.instances.get. Además, antes de poder usar un radio de un dispositivo router, debes configurar el intercambio de tráfico entre Cloud Router y la instancia del dispositivo del router. Para establecer el intercambio de tráfico, necesitas los siguientes permisos:
    • compute.instances.use
    • compute.routers.update
  • Para crear radios de adjuntos de VLAN, necesitas compute.interconnectAttachments.get.
  • Para crear radios de túnel VPN, necesitas compute.vpnTunnels.get.

Permiso para usar Network Connectivity Center en Cloud Console

Para usar Network Connectivity Center en Cloud Console, necesitas una función, como la siguiente:Visualizador de red de Compute (roles/compute.networkViewer), que incluye los permisos descritos en la siguiente tabla.

Tarea

Permisos necesarios

Accede a la página de Network Connectivity Center
  • compute.projects.get
Accede a la página de Agregar radios y úsala
  • compute.networks.list
  • compute.regions.list
  • compute.routers.list
  • compute.zones.list
Agrega un radio de adjunto de VLAN
  • compute.interconnectAttachments.list
Agrega un radio de VPN
  • compute.forwardingRules.list
  • compute.targetVpnGateways.list
  • compute.vpnGateways.list
  • compute.vpnTunnels.list

Protege recursos con los controles del servicio de VPC

Para proteger aún más los recursos de Network Connectivity Center, usa los Controles del servicio de VPC.

Los Controles del servicio de VPC brindan seguridad adicional a tus recursos para mitigar el riesgo de robo de datos. Mediante los Controles del servicio de VPC, puedes colocar los recursos de Network Connectivity Center dentro de los perímetros de servicio. Luego, los Controles del servicio de VPC protegen estos recursos de las solicitudes que se originan fuera del perímetro.

Para obtener más información sobre los perímetros de servicio, consulta la página de configuración del perímetro de servicio en la documentación de los Controles del servicio de VPC.

¿Qué sigue?

Para obtener más información sobre las funciones de proyecto y los recursos de Google Cloud, consulta la siguiente documentación:

Para obtener más información sobre Network Connectivity Center, consulta los siguientes vínculos: