このページでは、Network Connectivity Center の使用に必要な Identity and Access Management(IAM)のロールと権限について説明します。
大まかな流れは次のとおりです。
- 事前定義された Network Connectivity Center の権限(事前定義ロールを参照)。
- 次のような追加の権限があります。
- スポークを作成するには、スポークを作成する権限で説明されているように、関連するスポーク リソースタイプを読み取る権限が必要です。
- Google Cloud コンソールで Network Connectivity Center を使用するには、Google Cloud コンソールで Network Connectivity Center を使用するための権限で説明されているように、特定の Virtual Private Cloud(VPC)ネットワーク リソースを表示する権限が必要です。
共有 VPC ネットワークの Network Connectivity Center を使用する必要がある場合は、ホスト プロジェクトで必要なすべての権限が付与されている必要があります。ハブとそのスポーク、すべての関連リソースはホスト プロジェクトに存在する必要があります。
権限を付与する方法については、IAM の概要をご覧ください。
事前定義ロール
次の表は、Network Connectivity Center の事前定義ロールを示したものです。
| ロール | 権限 |
|---|---|
ハブ アンド スコープ管理者( ハブ アンド スポーク リソースに対する完全アクセス権を付与します。 このロールを付与できる最下位レベルのリソース:
2 つのオーナー権限を含む |
networkconnectivity.hubs.*
networkconnectivity.
networkconnectivity.
networkconnectivity.spokes.*
resourcemanager.projects.get resourcemanager.projects.list |
ハブ アンド スポーク閲覧者( ハブ アンド スポーク リソースに対する読み取り専用アクセス権を付与します。 このロールを付与できる最下位レベルのリソース:
|
networkconnectivity.hubs.get networkconnectivity. networkconnectivity.hubs.list networkconnectivity.
networkconnectivity.spokes.get networkconnectivity. networkconnectivity. resourcemanager.projects.get resourcemanager.projects.list |
スポーク管理者( スポーク リソースに対する完全アクセス権と、ハブリソースへの読み取り専用アクセス権を付与します。 このロールを付与できる最下位レベルのリソース:
1 つのオーナー権限を含む |
networkconnectivity.hubs.get networkconnectivity. networkconnectivity.hubs.list networkconnectivity.
networkconnectivity. networkconnectivity. networkconnectivity.spokes.*
resourcemanager.projects.get resourcemanager.projects.list |
必要な追加の権限
Network Connectivity Center で行う必要があるアクションによっては、次のセクションで説明する権限が必要になる場合があります。
スポークを作成する権限
スポークを作成するには、スポークのリソースタイプを読み取る権限が必要です。例:
- すべてのリソースタイプには、
compute.routers.getが必要です。 - ルーター アプライアンスのスポークを作成するには、
compute.instances.getが必要です。また、Router アプライアンス スポークを使用するには、Cloud Router とルーター アプライアンス インスタンスの間にピアリングを設定する必要があります。ピアリングを確立するには、次の権限が必要です。compute.instances.usecompute.routers.update
- VLAN アタッチメントのスポークを作成するには、
compute.interconnectAttachments.getが必要です。 - VPN トンネルのスポークを作成するには、
compute.vpnTunnels.getが必要です。
Google Cloud コンソールで Network Connectivity Center を使用するための権限
Google Cloud コンソールで Network Connectivity Center を使用するには、Compute ネットワーク閲覧者(roles/compute.networkViewer)などのロールが必要です。これには、次の表に示す権限が含まれています。
タスク |
必要な権限 |
|---|---|
| [Network Connectivity Center] ページにアクセスする |
|
| [スポークを追加する] ページにアクセスして使用する |
|
| VLAN アタッチメントのスポークを追加する |
|
| VPN スポークを追加する |
|
VPC Service Controls によるリソースの保護
Network Connectivity Center のリソースのセキュリティを強化するには、VPC Service Controls を使用します。
VPC Service Controls は、リソースのセキュリティを強化し、データの引き出しのリスクを軽減します。VPC Service Controls を使用すると、Network Connectivity Center のリソースをサービス境界内に配置できます。VPC Service Controls は、こうしたリソースを境界外からのリクエストから保護します。
サービス境界の詳細については、VPC Service Controls ドキュメントのサービス境界の構成ページをご覧ください。
次のステップ
プロジェクト ロールと Google Cloud リソースの詳細については、次のドキュメントをご覧ください。
- IAM を使用したプロジェクトのアクセス制御(リソース マネージャー ドキュメント)
- Identity and Access Management のロールの種類の理解
- Compute Engine IAM のロールと権限
Network Connectivity Center の詳細については、次をご覧ください。