Ruoli e autorizzazioni

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questa pagina descrive i ruoli e le autorizzazioni di Identity and Access Management (IAM) necessari per utilizzare Network Connectivity Center.

In linea generale, hai bisogno di quanto segue:

Tieni presente che, se devi lavorare con Network Connectivity Center in una rete VPC condivisa, devi disporre di tutte le autorizzazioni necessarie nel progetto host. Un hub, i relativi spoke e tutte le risorse correlate devono essere nel progetto host.

Per informazioni su come concedere le autorizzazioni, consulta la panoramica di IAM.

Ruoli predefiniti

La tabella seguente descrive i ruoli predefiniti del Network Connectivity Center.

Ruolo Autorizzazioni

(roles/networkconnectivity.hubAdmin)

Abilita l'accesso completo alle risorse hub e spoke.

Risorse di livello più basso in cui puoi concedere questo ruolo:

  • Progetto

Contiene 2 autorizzazioni proprietario

networkconnectivity.hubs.*

  • connettività di rete.hub.crea
  • connettività di rete.hub.elimina
  • networkconnectivity.hubs.get
  • networkconnectivity.hub.getIamPolicy
  • networkconnectivity.hubs.list
  • networkconnectivity.hub.setIamPolicy
  • networkconnectivity.hub.update

networkconnectivity.locations.*

  • networkconnectivity.locations.get
  • networkconnectivity.locations.list

operazioni di rete..*

  • operazioni di rete.annulla.annulla
  • operatività di rete.elimina.elimina
  • operazioni di rete Connect..get
  • reti.operazioni.elenco

sistemi di connettività di rete.*

  • connettività di rete.spegni.crea
  • connettività di rete.raggi.elimina
  • networkconnectivity.spokes.get
  • connettività di rete.raggi.getIamPolicy
  • connettività di rete.prolunghe.elenco
  • networkconnectivity.soke.setIamPolicy
  • connettività di rete.prolunga.Aggiorna

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkconnectivity.hubViewer)

Abilita l'accesso di sola lettura alle risorse hub e spoke.

Risorse di livello più basso in cui puoi concedere questo ruolo:

  • Progetto

networkconnectivity.hubs.get

networkconnectivity.hub.getIamPolicy

networkconnectivity.hubs.list

networkconnectivity.locations.*

  • networkconnectivity.locations.get
  • networkconnectivity.locations.list

networkconnectivity.spokes.get

connettività di rete.raggi.getIamPolicy

connettività di rete.prolunghe.elenco

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkconnectivity.spokeAdmin)

Abilita l'accesso completo alle risorse spoke e l'accesso di sola lettura alle risorse hub.

Risorse di livello più basso in cui puoi concedere questo ruolo:

  • Progetto

Contiene 1 autorizzazione di proprietario

networkconnectivity.hubs.get

networkconnectivity.hub.getIamPolicy

networkconnectivity.hubs.list

networkconnectivity.locations.*

  • networkconnectivity.locations.get
  • networkconnectivity.locations.list

operazioni di rete Connect..get

reti.operazioni.elenco

sistemi di connettività di rete.*

  • connettività di rete.spegni.crea
  • connettività di rete.raggi.elimina
  • networkconnectivity.spokes.get
  • connettività di rete.raggi.getIamPolicy
  • connettività di rete.prolunghe.elenco
  • networkconnectivity.soke.setIamPolicy
  • connettività di rete.prolunga.Aggiorna

resourcemanager.projects.get

resourcemanager.projects.list

Autorizzazioni obbligatorie aggiuntive

A seconda delle azioni che devi eseguire in Network Connectivity Center, potrebbero essere necessarie le autorizzazioni descritte nelle sezioni seguenti.

Autorizzazione per creare uno spoke

Per creare uno spoke, devi disporre dell'autorizzazione per leggere il tipo di risorsa dello spoke. Ad esempio:

  • Per tutti i tipi di risorse, è necessario compute.routers.get.
  • Per creare gli spoke dell'appliance router, devi avere compute.instances.get. Inoltre, prima di poter utilizzare lo spoke dell'appliance router, devi configurare il peering tra il router Cloud e l'istanza dell'appliance router. Per stabilire il peering, devi disporre delle seguenti autorizzazioni:
    • compute.instances.use
    • compute.routers.update
  • Per creare gli spoke di collegamento VLAN, è necessario compute.interconnectAttachments.get.
  • Per creare gli spoke del tunnel VPN, è necessario compute.vpnTunnels.get.

Autorizzazione a utilizzare Network Connectivity Center in Google Cloud Console

Per utilizzare Network Connectivity Center nella console Google Cloud, devi avere un ruolo, ad esempio Compute Network Analyzer (roles/compute.networkViewer), che includa le autorizzazioni descritte nella tabella seguente.

Attività

Autorizzazioni obbligatorie
Accedi alla pagina Centro connettività di rete
  • compute.projects.get
Accedere alla pagina Aggiungi spoke e utilizzarla
  • compute.networks.list
  • compute.regions.list
  • compute.routers.list
  • compute.zones.list
Aggiungi uno spoke di collegamento VLAN
  • compute.interconnectAttachments.list
Aggiungi uno spoke VPN
  • compute.forwardingRules.list
  • compute.targetVpnGateways.list
  • compute.vpnGateways.list
  • compute.vpnTunnels.list

Protezione delle risorse con Controlli di servizio VPC

Per proteggere ulteriormente le risorse del Network Connectivity Center, utilizza i Controlli di servizio VPC.

I Controlli di servizio VPC forniscono ulteriore sicurezza per ridurre il rischio di esfiltrazione di dati. Utilizzando i Controlli di servizio VPC, puoi posizionare le risorse di Network Connectivity Center all'interno dei perimetri di servizio. Controlli di servizio VPC protegge quindi queste risorse dalle richieste che hanno origine al di fuori del perimetro.

Per scoprire di più sui perimetri di servizio, consulta la pagina Configurazione del perimetro di servizio nella documentazione di Controlli di servizio VPC.

Passaggi successivi

Per ulteriori informazioni sui ruoli dei progetti e sulle risorse Google Cloud, consulta la seguente documentazione:

Per ulteriori informazioni su Network Connectivity Center, vedi quanto segue: