Rôles et autorisations

Cette page décrit les rôles et les autorisations IAM (Identity and Access Management) requis pour utiliser Network Connectivity Center.

En règle générale, vous procédez comme suit :

  • Autorisations prédéfinies de Network Connectivity Center, qui sont décrites dans la section Rôles prédéfinis.
  • Autorisations supplémentaires suivantes :

Si vous devez travailler avec Network Connectivity Center dans un réseau VPC partagé, vous devez disposer de toutes les autorisations nécessaires dans le projet hôte. Un hub, ses spokes et toutes les ressources associées doivent être dans le projet hôte.

Pour savoir comment accorder des autorisations, consultez la page Présentation d'IAM.

Rôles prédéfinis

Le tableau suivant décrit les rôles prédéfinis de Network Connectivity Center.

Rôle Autorisations

Administrateur Hub et Spoke
(roles/networkconnectivity.hubAdmin)

Offre un accès complet aux ressources Hub et Spoke.

Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle :

  • Projet
  • networkconnectivity.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Lecteur Hub et Spoke
(roles/networkconnectivity.hubViewer)

Offre un accès en lecture seule aux ressources Hub et Spoke.

Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle :

  • Projet
  • networkconnectivity.hubs.get
  • networkconnectivity.hubs.getIamPolicy
  • networkconnectivity.hubs.list
  • networkconnectivity.locations.*
  • networkconnectivity.spokes.get
  • networkconnectivity.spokes.getIamPolicy
  • networkconnectivity.spokes.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Administrateur Spoke
(roles/networkconnectivity.spokeAdmin)

Permet un accès complet aux ressources Spoke et un accès en lecture seule aux ressources Hub.

Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle :

  • Projet
  • networkconnectivity.hubs.get
  • networkconnectivity.hubs.getIamPolicy
  • networkconnectivity.hubs.list
  • networkconnectivity.locations.*
  • networkconnectivity.operations.get
  • networkconnectivity.operations.list
  • networkconnectivity.spokes.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Autorisations requises supplémentaires

Selon les actions à effectuer dans Network Connectivity Center, vous aurez peut-être besoin d'autorisations supplémentaires, comme décrit dans les sections suivantes.

Autorisation de créer un spoke

Pour créer un spoke, vous devez être autorisé à lire le type de ressource du spoke. Exemple :

  • Pour tous les types de ressources, vous avez besoin de compute.routers.get.
  • Pour créer des spokes d'appareil de routeur, vous avez besoin de compute.instances.get. En outre, avant de pouvoir utiliser un spoke d'appareil de routeur, vous devez configurer l'appairage entre le routeur cloud et l'instance d'appareil de routeur. Pour établir l'appairage, vous devez disposer des autorisations suivantes :
    • compute.instances.use
    • compute.routers.update
  • Pour créer des spokes de rattachement de VLAN, vous avez besoin de compute.interconnectAttachments.get.
  • Pour créer des spokes de tunnel VPN, vous avez besoin de compute.vpnTunnels.get.

Autorisation d'utiliser Network Connectivity Center dans la console

Pour utiliser Network Connectivity Center dans la console, vous avez besoin d'un rôle, par exemple Lecteur de réseau Compute (roles/compute.networkViewer), qui inclut les autorisations décrites dans le tableau suivant.

Tâche

Autorisations requises

Accéder à la page Network Connectivity Center
  • compute.projects.get
Accéder à la page Ajouter des spokes et l'utiliser
  • compute.networks.list
  • compute.regions.list
  • compute.routers.list
  • compute.zones.list
Ajouter un spoke de rattachement de VLAN
  • compute.interconnectAttachments.list
Ajouter un spoke VPN
  • compute.forwardingRules.list
  • compute.targetVpnGateways.list
  • compute.vpnGateways.list
  • compute.vpnTunnels.list

Protéger des ressources avec VPC Service Controls

Vous pouvez renforcer la sécurité des ressources Network Connectivity Center à l'aide de VPC Service Controls.

VPC Service Controls fournit des mesures de sécurité supplémentaires à vos ressources pour réduire le risque d'exfiltration de données. Il vous permet également de placer les ressources Network Connectivity Center dans des périmètres de service. VPC Service Controls protège ensuite ces ressources contre les requêtes provenant de l'extérieur du périmètre.

Pour en savoir plus sur les périmètres de service, consultez la page Configuration du périmètre de service dans la documentation de VPC Service Controls.

Étapes suivantes

Pour plus d'informations sur les rôles au niveau du projet et les ressources Google Cloud, consultez les documentations suivantes :

Pour en savoir plus sur Network Connectivity Center, consultez les ressources suivantes :