このページでは、Network Connectivity Center の使用に必要な Identity and Access Management(IAM)のロールと権限について説明します。
大まかな流れは次のとおりです。
- 事前定義された Network Connectivity Center の権限(事前定義ロールを参照)。
- 次のような追加の権限があります。
- スポークを作成するには、スポークを作成する権限で説明されているように、関連するスポーク リソースタイプを読み取る権限が必要です。
- Google Cloud コンソールで Network Connectivity Center を使用するには、Google Cloud コンソールで Network Connectivity Center を使用するための権限で説明されているように、特定の Virtual Private Cloud(VPC)ネットワーク リソースを表示する権限が必要です。
共有 VPC ネットワークの Network Connectivity Center を使用する必要がある場合は、ホスト プロジェクトで必要なすべての権限が付与されている必要があります。ハブとそのスポーク、すべての関連リソースはホスト プロジェクトに存在する必要があります。
権限を付与する方法については、IAM の概要をご覧ください。
事前定義ロール
次の表は、Network Connectivity Center の事前定義ロールを示したものです。
Role | Permissions |
---|---|
Service Automation Consumer Network Admin( Service Automation Consumer Network Admin is responsible for setting up ServiceConnectionPolicies. |
networkconnectivity.
resourcemanager.projects.get resourcemanager.projects.list |
Group User( Enables use access on group resources |
networkconnectivity.groups.use |
Hub & Spoke Admin( Enables full access to hub and spoke resources. Lowest-level resources where you can grant this role:
|
networkconnectivity.groups.*
networkconnectivity.
networkconnectivity.
networkconnectivity.hubs.*
networkconnectivity.
networkconnectivity.
networkconnectivity.spokes.*
resourcemanager.projects.get resourcemanager.projects.list |
Hub & Spoke Viewer( Enables read-only access to hub and spoke resources. Lowest-level resources where you can grant this role:
|
networkconnectivity.groups.get networkconnectivity. networkconnectivity. networkconnectivity. networkconnectivity. networkconnectivity. networkconnectivity. networkconnectivity. networkconnectivity. networkconnectivity.hubs.get networkconnectivity. networkconnectivity.hubs.list networkconnectivity.
networkconnectivity.
networkconnectivity.spokes.get networkconnectivity. networkconnectivity. resourcemanager.projects.get resourcemanager.projects.list |
Regional Endpoint Admin Alpha( Full access to all Regional Endpoint resources. |
resourcemanager.projects.get resourcemanager.projects.list |
Regional Endpoint Viewer Alpha( Read-only access to all Regional Endpoint resources. |
resourcemanager.projects.get resourcemanager.projects.list |
Service Class User( Service Class User uses a ServiceClass |
networkconnectivity. networkconnectivity. networkconnectivity. resourcemanager.projects.get resourcemanager.projects.list |
Service Automation Service Producer Admin( Service Automation Producer Admin uses information from a consumer request to manage ServiceClasses and ServiceConnectionMaps |
networkconnectivity. networkconnectivity.
networkconnectivity.
networkconnectivity.
resourcemanager.projects.get resourcemanager.projects.list |
Spoke Admin( Enables full access to spoke resources and read-only access to hub resources. Lowest-level resources where you can grant this role:
|
networkconnectivity. networkconnectivity. networkconnectivity. networkconnectivity. networkconnectivity. networkconnectivity. networkconnectivity.hubs.get networkconnectivity. networkconnectivity.hubs.list
networkconnectivity.
networkconnectivity. networkconnectivity. networkconnectivity.spokes.*
resourcemanager.projects.get resourcemanager.projects.list |
必要な追加の権限
Network Connectivity Center で行う必要があるアクションによっては、次のセクションで説明する権限が必要になる場合があります。
スポークを作成する権限
スポークを作成するには、スポークのリソースタイプを読み取る権限が必要です。次に例を示します。
- VPN トンネルのスポーク、VLAN アタッチメントのスポーク、Router アプライアンス スポークには、
compute.routers.get
が必要です。 - ルーター アプライアンスのスポークを作成するには、
compute.instances.get
が必要です。また、Router アプライアンス スポークを使用するには、Cloud Router とルーター アプライアンス インスタンスの間にピアリングを設定する必要があります。ピアリングを確立するには、次の権限が必要です。compute.instances.use
compute.routers.update
- VLAN アタッチメントのスポークを作成するには、
compute.interconnectAttachments.get
が必要です。 - VPN トンネルのスポークを作成するには、
compute.vpnTunnels.get
が必要です。 VPC スポークを作成するには、次の権限が必要です。
compute.networks.use
compute.networks.get
関連付けられているハブとは異なるプロジェクトで VPC スポークを作成するには、
networkconnectivity.groups.use
が必要です。
Google Cloud コンソールで Network Connectivity Center を使用するための権限
Google Cloud コンソールで Network Connectivity Center を使用するには、Compute ネットワーク閲覧者(roles/compute.networkViewer
)などのロールが必要です。これには、次の表に示す権限が含まれています。これらの権限を使用するには、まずカスタムロールを作成する必要があります。
タスク |
必要な権限 |
---|---|
[Network Connectivity Center] ページにアクセスする |
|
[スポークを追加する] ページにアクセスして使用する |
|
VLAN アタッチメントのスポークを追加する |
|
VPN スポークを追加する |
|
VPC Service Controls によるリソースの保護
Network Connectivity Center のリソースのセキュリティを強化するには、VPC Service Controls を使用します。
VPC Service Controls は、リソースのセキュリティを強化し、データの引き出しのリスクを軽減します。VPC Service Controls を使用すると、Network Connectivity Center のリソースをサービス境界内に配置できます。VPC Service Controls は、こうしたリソースを境界外からのリクエストから保護します。
サービス境界の詳細については、VPC Service Controls ドキュメントのサービス境界の構成ページをご覧ください。
次のステップ
プロジェクト ロールと Google Cloud リソースの詳細については、次のドキュメントをご覧ください。
- IAM のロールと権限については、IAM を使用したプロジェクトのアクセス制御をご覧ください。
- ロールの種類については、Identity and Access Management の基本ロールと事前定義ロールのリファレンスをご覧ください。
- 事前定義ロールについては、Compute Engine IAM のロールと権限をご覧ください。
- Network Connectivity Center の詳細については、Network Connectivity Center の概要をご覧ください。
- ハブとスポークの管理方法については、ハブとスポークの操作をご覧ください。