Ruoli e autorizzazioni

Questa pagina descrive i ruoli e le autorizzazioni di Identity and Access Management (IAM) necessari per utilizzare Network Connectivity Center.

In linea generale, hai bisogno di quanto segue:

Tieni presente che, se devi lavorare con Network Connectivity Center in una rete VPC condivisa, devi disporre di tutte le autorizzazioni necessarie nel progetto host. Un hub, i relativi spoke e tutte le risorse correlate devono essere nel progetto host.

Per informazioni su come concedere le autorizzazioni, consulta la panoramica di IAM.

Ruoli predefiniti

La tabella seguente descrive i ruoli predefiniti del Network Connectivity Center.

Ruolo Autorizzazioni

(roles/networkconnectivity.hubAdmin)

Abilita l'accesso completo alle risorse hub e spoke.

Risorse di livello più basso a cui puoi assegnare questo ruolo:

  • Progetto

networkconnectivity.hubs.*

  • networknetworkivity.hub.crea
  • networknetworkivity.hub.elimina
  • networkconnectivity.hubs.get
  • networknetworkivity.hub.getIamPolicy
  • networkconnectivity.hubs.list
  • networkconnectivity.hub.setIamPolicy
  • networknetworkivity.hub.aggiorna

networkconnectivity.località.*

  • networkconnectivity.locations.get
  • networknetworkivity.locations.list

networkivity..*

  • operazioni di rete.operazioni.annulla
  • suite operativa di rete..elimina
  • networkconnectivity.operazioni.get
  • elenco.operazioni.elenco

responsabilità di rete.*spokes.*

  • di connettività di rete.dei segmenti di pubblico.crea
  • di connettività di rete.dei messaggi.elimina
  • networkconnectivity.spokes.get
  • networkconnectivity.sokes.getIamPolicy
  • networkconnectivity.sokes.list
  • networkconnectivity.sokes.setIamPolicy
  • networkconnectivity.sokes.aggiorna

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkconnectivity.hubViewer)

Abilita l'accesso di sola lettura alle risorse hub e spoke.

Risorse di livello più basso a cui puoi assegnare questo ruolo:

  • Progetto

networkconnectivity.hubs.get

networknetworkivity.hub.getIamPolicy

networkconnectivity.hubs.list

networkconnectivity.località.*

  • networkconnectivity.locations.get
  • networknetworkivity.locations.list

networkconnectivity.spokes.get

networkconnectivity.sokes.getIamPolicy

networkconnectivity.sokes.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkconnectivity.spokeAdmin)

Abilita l'accesso completo alle risorse spoke e l'accesso di sola lettura alle risorse hub.

Risorse di livello più basso a cui puoi assegnare questo ruolo:

  • Progetto

networkconnectivity.hubs.get

networknetworkivity.hub.getIamPolicy

networkconnectivity.hubs.list

networkconnectivity.località.*

  • networkconnectivity.locations.get
  • networknetworkivity.locations.list

networkconnectivity.operazioni.get

elenco.operazioni.elenco

responsabilità di rete.*spokes.*

  • di connettività di rete.dei segmenti di pubblico.crea
  • di connettività di rete.dei messaggi.elimina
  • networkconnectivity.spokes.get
  • networkconnectivity.sokes.getIamPolicy
  • networkconnectivity.sokes.list
  • networkconnectivity.sokes.setIamPolicy
  • networkconnectivity.sokes.aggiorna

resourcemanager.projects.get

resourcemanager.projects.list

Autorizzazioni obbligatorie aggiuntive

A seconda delle azioni che devi eseguire in Network Connectivity Center, potrebbero essere necessarie le autorizzazioni descritte nelle sezioni seguenti.

Autorizzazione per creare uno spoke

Per creare uno spoke, devi disporre dell'autorizzazione per leggere il tipo di risorsa dello spoke. Ad esempio:

  • Per tutti i tipi di risorse, è necessario compute.routers.get.
  • Per creare gli spoke dell'appliance router, devi avere compute.instances.get. Inoltre, prima di poter utilizzare lo spoke dell'appliance router, devi configurare il peering tra il router Cloud e l'istanza dell'appliance router. Per stabilire il peering, devi disporre delle seguenti autorizzazioni:
    • compute.instances.use
    • compute.routers.update
  • Per creare gli spoke di collegamento VLAN, è necessario compute.interconnectAttachments.get.
  • Per creare gli spoke del tunnel VPN, è necessario compute.vpnTunnels.get.

Autorizzazione a utilizzare Network Connectivity Center in Google Cloud Console

Per utilizzare Network Connectivity Center nella console Google Cloud, devi avere un ruolo, ad esempio Compute Network Analyzer (roles/compute.networkViewer), che includa le autorizzazioni descritte nella tabella seguente.

Attività

Autorizzazioni obbligatorie

Accedi alla pagina Centro connettività di rete
  • compute.projects.get
Accedere alla pagina Aggiungi spoke e utilizzarla
  • compute.networks.list
  • compute.regions.list
  • compute.routers.list
  • compute.zones.list
Aggiungi uno spoke di collegamento VLAN
  • compute.interconnectAttachments.list
Aggiungi uno spoke VPN
  • compute.forwardingRules.list
  • compute.targetVpnGateways.list
  • compute.vpnGateways.list
  • compute.vpnTunnels.list

Protezione delle risorse con Controlli di servizio VPC

Per proteggere ulteriormente le risorse del Network Connectivity Center, utilizza i Controlli di servizio VPC.

I Controlli di servizio VPC forniscono ulteriore sicurezza per ridurre il rischio di esfiltrazione di dati. Utilizzando i Controlli di servizio VPC, puoi posizionare le risorse di Network Connectivity Center all'interno dei perimetri di servizio. Controlli di servizio VPC protegge quindi queste risorse dalle richieste che hanno origine al di fuori del perimetro.

Per scoprire di più sui perimetri di servizio, consulta la pagina Configurazione del perimetro di servizio nella documentazione di Controlli di servizio VPC.

Passaggi successivi

Per ulteriori informazioni sui ruoli dei progetti e sulle risorse Google Cloud, consulta la seguente documentazione:

Per ulteriori informazioni su Network Connectivity Center, vedi quanto segue: