Questa pagina descrive i ruoli e le autorizzazioni di Identity and Access Management (IAM) necessari per utilizzare Network Connectivity Center.
In linea generale, hai bisogno di quanto segue:
- Autorizzazioni predefinite per il Centro connettività di rete, descritte in Ruoli predefiniti.
- Autorizzazioni aggiuntive, come indicato di seguito:
- Per creare gli spoke, è necessario disporre dell'autorizzazione per leggere i tipi di risorse spoke pertinenti, come descritto in Autorizzazione per creare uno spoke.
- Per utilizzare Network Connectivity Center in Google Cloud Console, devi disporre dell'autorizzazione per visualizzare determinate risorse di rete Virtual Private Cloud (VPC), come descritto nella sezione Autorizzazione a utilizzare Network Connectivity Center in Google Cloud Console.
Tieni presente che, se devi lavorare con Network Connectivity Center in una rete VPC condivisa, devi disporre di tutte le autorizzazioni necessarie nel progetto host. Un hub, i relativi spoke e tutte le risorse correlate devono essere nel progetto host.
Per informazioni su come concedere le autorizzazioni, consulta la panoramica di IAM.
Ruoli predefiniti
La tabella seguente descrive i ruoli predefiniti del Network Connectivity Center.
Ruolo | Autorizzazioni |
---|---|
Amministratore hub e spoke( Abilita l'accesso completo alle risorse hub e spoke. Risorse di livello più basso a cui puoi assegnare questo ruolo:
|
networkconnectivity.hubs.*
networkconnectivity.
networkivity.
responsabilità di rete.*spokes.*
resourcemanager.projects.get resourcemanager.projects.list |
Visualizzatore hub e spoke( Abilita l'accesso di sola lettura alle risorse hub e spoke. Risorse di livello più basso a cui puoi assegnare questo ruolo:
|
networkconnectivity.hubs.get networknetworkivity. networkconnectivity.hubs.list
networkconnectivity.
networkconnectivity.spokes.get networkconnectivity. networkconnectivity. resourcemanager.projects.get resourcemanager.projects.list |
Amministratore Spoke( Abilita l'accesso completo alle risorse spoke e l'accesso di sola lettura alle risorse hub. Risorse di livello più basso a cui puoi assegnare questo ruolo:
|
networkconnectivity.hubs.get networknetworkivity. networkconnectivity.hubs.list
networkconnectivity.
networkconnectivity. elenco. responsabilità di rete.*spokes.*
resourcemanager.projects.get resourcemanager.projects.list |
Autorizzazioni obbligatorie aggiuntive
A seconda delle azioni che devi eseguire in Network Connectivity Center, potrebbero essere necessarie le autorizzazioni descritte nelle sezioni seguenti.
Autorizzazione per creare uno spoke
Per creare uno spoke, devi disporre dell'autorizzazione per leggere il tipo di risorsa dello spoke. Ad esempio:
- Per tutti i tipi di risorse, è necessario
compute.routers.get
. - Per creare gli spoke dell'appliance router, devi avere
compute.instances.get
. Inoltre, prima di poter utilizzare lo spoke dell'appliance router, devi configurare il peering tra il router Cloud e l'istanza dell'appliance router. Per stabilire il peering, devi disporre delle seguenti autorizzazioni:compute.instances.use
compute.routers.update
- Per creare gli spoke di collegamento VLAN, è necessario
compute.interconnectAttachments.get
. - Per creare gli spoke del tunnel VPN, è necessario
compute.vpnTunnels.get
.
Autorizzazione a utilizzare Network Connectivity Center in Google Cloud Console
Per utilizzare Network Connectivity Center nella console Google Cloud, devi avere un ruolo, ad esempio Compute Network Analyzer
(roles/compute.networkViewer
), che includa le autorizzazioni descritte nella tabella seguente.
Attività |
Autorizzazioni obbligatorie |
---|---|
Accedi alla pagina Centro connettività di rete |
|
Accedere alla pagina Aggiungi spoke e utilizzarla |
|
Aggiungi uno spoke di collegamento VLAN |
|
Aggiungi uno spoke VPN |
|
Protezione delle risorse con Controlli di servizio VPC
Per proteggere ulteriormente le risorse del Network Connectivity Center, utilizza i Controlli di servizio VPC.
I Controlli di servizio VPC forniscono ulteriore sicurezza per ridurre il rischio di esfiltrazione di dati. Utilizzando i Controlli di servizio VPC, puoi posizionare le risorse di Network Connectivity Center all'interno dei perimetri di servizio. Controlli di servizio VPC protegge quindi queste risorse dalle richieste che hanno origine al di fuori del perimetro.
Per scoprire di più sui perimetri di servizio, consulta la pagina Configurazione del perimetro di servizio nella documentazione di Controlli di servizio VPC.
Passaggi successivi
Per ulteriori informazioni sui ruoli dei progetti e sulle risorse Google Cloud, consulta la seguente documentazione:
- Controllo dell'accesso ai progetti tramite IAM (documentazione di Resource Manager)
- Informazioni sui tipi di ruoli di Identity and Access Management
- Ruoli e autorizzazioni IAM di Compute Engine
Per ulteriori informazioni su Network Connectivity Center, vedi quanto segue:
- Panoramica del Network Connectivity Center
- Lavora con hub e spoke
- Connessione di due filiali utilizzando gli spoke di Cloud VPN