Cette page décrit les rôles et les autorisations IAM (Identity and Access Management) requis pour utiliser Network Connectivity Center.
En règle générale, vous procédez comme suit :
- Autorisations prédéfinies de Network Connectivity Center, qui sont décrites dans la section Rôles prédéfinis.
- Autorisations supplémentaires suivantes :
- Pour créer des spokes, vous devez obtenir l'autorisation de lire les types de ressources de spoke pertinents, comme décrit dans la section Autorisation de créer un spoke
- Pour utiliser Network Connectivity Center dans la console Google Cloud, vous devez disposer de l'autorisation d'afficher certaines ressources réseau de cloud privé virtuel (VPC), comme décrit dans la section Autorisation d'utiliser Network Connectivity Center dans la console Google Cloud
Si vous devez travailler avec Network Connectivity Center dans un réseau VPC partagé, vous devez disposer de toutes les autorisations nécessaires dans le projet hôte. Un hub, ses spokes et toutes les ressources associées doivent être dans le projet hôte.
Pour savoir comment accorder des autorisations, consultez la page Présentation d'IAM.
Rôles prédéfinis
Le tableau suivant décrit les rôles prédéfinis de Network Connectivity Center.
Rôle | Autorisations |
---|---|
Administrateur Hub et Spoke( Offre un accès complet aux ressources Hub et Spoke. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle :
Contains 2 owner permissions |
networkconnectivity.hubs.*
networkconnectivity.
networkconnectivity.
networkconnectivity.spokes.*
resourcemanager.projects.get resourcemanager.projects.list |
Lecteur Hub et Spoke( Offre un accès en lecture seule aux ressources Hub et Spoke. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle :
|
networkconnectivity.hubs.get networkconnectivity. networkconnectivity.hubs.list
networkconnectivity.
networkconnectivity.spokes.get networkconnectivity. networkconnectivity. resourcemanager.projects.get resourcemanager.projects.list |
Administrateur Spoke( Permet un accès complet aux ressources Spoke et un accès en lecture seule aux ressources Hub. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle :
Contient 1 autorisation de propriétaire |
networkconnectivity.hubs.get networkconnectivity. networkconnectivity.hubs.list
networkconnectivity.
networkconnectivity. networkconnectivity. networkconnectivity.spokes.*
resourcemanager.projects.get resourcemanager.projects.list |
Autorisations requises supplémentaires
Selon les actions à effectuer dans Network Connectivity Center, vous aurez peut-être besoin d'autorisations supplémentaires, comme décrit dans les sections suivantes.
Autorisation de créer un spoke
Pour créer un spoke, vous devez être autorisé à lire le type de ressource du spoke. Exemple :
- Pour tous les types de ressources, vous avez besoin de
compute.routers.get
. - Pour créer des spokes d'appareil de routeur, vous avez besoin de
compute.instances.get
. En outre, avant de pouvoir utiliser un spoke d'appareil de routeur, vous devez configurer l'appairage entre le routeur cloud et l'instance d'appareil de routeur. Pour établir l'appairage, vous devez disposer des autorisations suivantes :compute.instances.use
compute.routers.update
- Pour créer des spokes de rattachement de VLAN, vous avez besoin de
compute.interconnectAttachments.get
. - Pour créer des spokes de tunnel VPN, vous avez besoin de
compute.vpnTunnels.get
.
Autorisation d'utiliser Network Connectivity Center dans la console Google Cloud
Pour utiliser Network Connectivity Center dans la console Google Cloud, vous avez besoin d'un rôle, par exemple Lecteur de réseau Compute (roles/compute.networkViewer
), qui inclut les autorisations décrites dans le tableau suivant.
Tâche |
Autorisations requises |
---|---|
Accéder à la page Network Connectivity Center |
|
Accéder à la page Ajouter des spokes et l'utiliser |
|
Ajouter un spoke de rattachement de VLAN |
|
Ajouter un spoke VPN |
|
Protéger des ressources avec VPC Service Controls
Vous pouvez renforcer la sécurité des ressources Network Connectivity Center à l'aide de VPC Service Controls.
VPC Service Controls fournit des mesures de sécurité supplémentaires à vos ressources pour réduire le risque d'exfiltration de données. Il vous permet également de placer les ressources Network Connectivity Center dans des périmètres de service. VPC Service Controls protège ensuite ces ressources contre les requêtes provenant de l'extérieur du périmètre.
Pour en savoir plus sur les périmètres de service, consultez la page Configuration du périmètre de service dans la documentation de VPC Service Controls.
Étapes suivantes
Pour plus d'informations sur les rôles au niveau du projet et les ressources Google Cloud, consultez les documentations suivantes :
- Contrôle des accès aux projets avec IAM (documentation de Resource Manager)
- Comprendre les types de rôles Identity and Access Management
- Rôles et autorisations IAM de Compute Engine
Pour en savoir plus sur Network Connectivity Center, consultez les ressources suivantes :
- Présentation de Network Connectivity Center
- Utiliser des hubs et des spokes
- Connecter deux filiales à l'aide de spokes Cloud VPN