Questa pagina descrive i ruoli e le autorizzazioni di Identity and Access Management (IAM) necessari per utilizzare il Network Connectivity Center.
In linea generale, hai bisogno di:
- Autorizzazioni predefinite del Centro connettività di rete, descritte nella sezione Ruoli predefiniti.
- Altre autorizzazioni, come indicato di seguito:
- Per creare gli spoke, è necessaria l'autorizzazione per leggere i tipi di risorse spoke pertinenti, come descritto in Autorizzazione per creare uno spoke.
- Per utilizzare Network Connectivity Center in Google Cloud Console, devi disporre dell'autorizzazione per visualizzare determinate risorse di rete Virtual Private Cloud (VPC), come descritto nell'autorizzazione per l'utilizzo di Network Connectivity Center nella console.
Tieni presente che per lavorare con Network Connectivity Center in una rete VPC condivisa, devi disporre di tutte le autorizzazioni necessarie nel progetto host. Un hub, i suoi spoke e tutte le risorse correlate devono essere presenti nel progetto host.
Per informazioni su come concedere le autorizzazioni, consulta la panoramica IAM.
Ruoli predefiniti
La tabella seguente descrive i ruoli predefiniti del Network Connectivity Center.
Ruolo | Autorizzazioni |
---|---|
Hub & Amministratore Spoke
Abilita l'accesso completo alle risorse hub e spoke. Risorse di livello inferiore a cui puoi concedere questo ruolo:
|
|
Visualizzatore hub e AMP
Abilita l'accesso in sola lettura alle risorse hub e spoke. Risorse di livello inferiore a cui puoi concedere questo ruolo:
|
|
Amministratore Spoke
Abilita l'accesso completo alle risorse spoke e l'accesso di sola lettura alle risorse hub. Risorse di livello inferiore a cui puoi concedere questo ruolo:
|
|
Altre autorizzazioni richieste
A seconda delle azioni che devi eseguire nel Network Connectivity Center, potresti dover disporre delle autorizzazioni descritte nelle sezioni seguenti.
Autorizzazione per creare uno spoke
Per creare uno spoke, devi avere l'autorizzazione per leggere il tipo di risorse dello spoke. Ad esempio:
- Per tutti i tipi di risorse, è necessaria
compute.routers.get
. - Per creare gli spoke dell'appliance di router, devi avere
compute.instances.get
. Inoltre, prima di poter utilizzare uno spoke dell'appliance router, devi configurare il peering tra il router Cloud e l'istanza dell'appliance router. Per stabilire il peering, devi disporre delle seguenti autorizzazioni:compute.instances.use
compute.routers.update
- Per creare gli spoke di collegamento VLAN devi avere
compute.interconnectAttachments.get
. - Per creare gli spoke del tunnel VPN, è necessario
compute.vpnTunnels.get
.
Autorizzazione a utilizzare il Network Connectivity Center nella console
Per utilizzare Network Connectivity Center nella console, devi avere un ruolo, ad esempio Compute Network Explorer (roles/compute.networkViewer
), che includa le autorizzazioni descritte nella seguente tabella.
Attività |
Autorizzazioni obbligatorie |
---|---|
Accedere alla pagina Network Connectivity Center |
|
Accedi alla pagina Aggiungi spoke e utilizzala |
|
Aggiungi uno spoke del collegamento VLAN |
|
Aggiungi uno spoke VPN |
|
Protezione delle risorse con Controlli di servizio VPC
Per proteggere ulteriormente le risorse Network Connectivity Center, utilizza i Controlli di servizio VPC.
I Controlli di servizio VPC forniscono risorse aggiuntive per contribuire a mitigare il rischio di esfiltrazione dei dati. Utilizzando i Controlli di servizio VPC, puoi posizionare le risorse Network Connectivity Center all'interno dei perimetri di servizio. I Controlli di servizio VPC proteggono quindi queste risorse dalle richieste che hanno origine al di fuori del perimetro.
Per scoprire di più sui perimetri di servizio, consulta la pagina Configurazione dei perimetri di servizio nella documentazione di Controlli di servizio VPC.
Passaggi successivi
Per ulteriori informazioni sui ruoli dei progetti e sulle risorse Google Cloud, consulta la seguente documentazione:
- Controllo dell'accesso per i progetti che utilizzano IAM (documentazione di Resource Manager)
- Informazioni sui tipi di ruoli per Identity and Access Management
- Ruoli e autorizzazioni IAM di Compute Engine
Per ulteriori informazioni sul Network Connectivity Center, consulta quanto segue:
- Panoramica del Network Connectivity Center
- Usare hub e spoke
- Collegare due filiali utilizzando gli spoke di Cloud VPN