Ruoli e autorizzazioni

Questa pagina descrive i ruoli e le autorizzazioni di Identity and Access Management (IAM) necessari per utilizzare il Network Connectivity Center.

In linea generale, hai bisogno di:

Tieni presente che per lavorare con Network Connectivity Center in una rete VPC condivisa, devi disporre di tutte le autorizzazioni necessarie nel progetto host. Un hub, i suoi spoke e tutte le risorse correlate devono essere presenti nel progetto host.

Per informazioni su come concedere le autorizzazioni, consulta la panoramica IAM.

Ruoli predefiniti

La tabella seguente descrive i ruoli predefiniti del Network Connectivity Center.

Ruolo Autorizzazioni

Hub & Amministratore Spoke
(roles/networkconnectivity.hubAdmin)

Abilita l'accesso completo alle risorse hub e spoke.

Risorse di livello inferiore a cui puoi concedere questo ruolo:

  • Progetto
  • connettività di rete.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizzatore hub e AMP
(roles/networkconnectivity.hubViewer)

Abilita l'accesso in sola lettura alle risorse hub e spoke.

Risorse di livello inferiore a cui puoi concedere questo ruolo:

  • Progetto
  • networkconnectivity.hubs.get
  • networkconnectivity.hubs.getIamPolicy
  • networkconnectivity.hubs.list
  • networkconnectivity.locations.*
  • networkconnectivity.spokes.get
  • networkconnectivity.spokes.getIamPolicy
  • networkconnectivity.spokes.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Amministratore Spoke
(roles/networkconnectivity.spokeAdmin)

Abilita l'accesso completo alle risorse spoke e l'accesso di sola lettura alle risorse hub.

Risorse di livello inferiore a cui puoi concedere questo ruolo:

  • Progetto
  • networkconnectivity.hubs.get
  • networkconnectivity.hubs.getIamPolicy
  • networkconnectivity.hubs.list
  • networkconnectivity.locations.*
  • networkconnectivity.operations.get
  • networkconnectivity.operations.list
  • networkconnectivity.spokes.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Altre autorizzazioni richieste

A seconda delle azioni che devi eseguire nel Network Connectivity Center, potresti dover disporre delle autorizzazioni descritte nelle sezioni seguenti.

Autorizzazione per creare uno spoke

Per creare uno spoke, devi avere l'autorizzazione per leggere il tipo di risorse dello spoke. Ad esempio:

  • Per tutti i tipi di risorse, è necessaria compute.routers.get.
  • Per creare gli spoke dell'appliance di router, devi avere compute.instances.get. Inoltre, prima di poter utilizzare uno spoke dell'appliance router, devi configurare il peering tra il router Cloud e l'istanza dell'appliance router. Per stabilire il peering, devi disporre delle seguenti autorizzazioni:
    • compute.instances.use
    • compute.routers.update
  • Per creare gli spoke di collegamento VLAN devi avere compute.interconnectAttachments.get.
  • Per creare gli spoke del tunnel VPN, è necessario compute.vpnTunnels.get.

Autorizzazione a utilizzare il Network Connectivity Center nella console

Per utilizzare Network Connectivity Center nella console, devi avere un ruolo, ad esempio Compute Network Explorer (roles/compute.networkViewer), che includa le autorizzazioni descritte nella seguente tabella.

Attività

Autorizzazioni obbligatorie

Accedere alla pagina Network Connectivity Center
  • compute.projects.get
Accedi alla pagina Aggiungi spoke e utilizzala
  • compute.networks.list
  • compute.regions.list
  • compute.routers.list
  • compute.zones.list
Aggiungi uno spoke del collegamento VLAN
  • compute.interconnectAttachments.list
Aggiungi uno spoke VPN
  • compute.forwardingRules.list
  • compute.targetVpnGateways.list
  • compute.vpnGateways.list
  • compute.vpnTunnels.list

Protezione delle risorse con Controlli di servizio VPC

Per proteggere ulteriormente le risorse Network Connectivity Center, utilizza i Controlli di servizio VPC.

I Controlli di servizio VPC forniscono risorse aggiuntive per contribuire a mitigare il rischio di esfiltrazione dei dati. Utilizzando i Controlli di servizio VPC, puoi posizionare le risorse Network Connectivity Center all'interno dei perimetri di servizio. I Controlli di servizio VPC proteggono quindi queste risorse dalle richieste che hanno origine al di fuori del perimetro.

Per scoprire di più sui perimetri di servizio, consulta la pagina Configurazione dei perimetri di servizio nella documentazione di Controlli di servizio VPC.

Passaggi successivi

Per ulteriori informazioni sui ruoli dei progetti e sulle risorse Google Cloud, consulta la seguente documentazione:

Per ulteriori informazioni sul Network Connectivity Center, consulta quanto segue: