ロールと権限

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

このページでは、Network Connectivity Center の使用に必要な Identity and Access Management(IAM)のロールと権限について説明します。

大まかな流れは次のとおりです。

共有 VPC ネットワークの Network Connectivity Center を使用する必要がある場合は、ホスト プロジェクトで必要なすべての権限が付与されている必要があります。ハブとそのスポーク、すべての関連リソースはホスト プロジェクトに存在する必要があります。

権限を付与する方法については、IAM の概要をご覧ください。

事前定義ロール

次の表は、Network Connectivity Center の事前定義ロールを示したものです。

ロール 権限

roles/networkconnectivity.hubAdmin

ハブ アンド スポーク リソースに対する完全アクセス権を付与します。

このロールを付与できる最下位レベルのリソース:

  • プロジェクト

2 つのオーナー権限が含まれる

networkconnectivity.hubs.*

  • networkconnectivity.hubs.create
  • networkconnectivity.hubs.delete
  • networkconnectivity.hubs.get
  • networkconnectivity.hubs.getIamPolicy
  • networkconnectivity.hubs.list
  • networkconnectivity.hubs.setIamPolicy
  • networkconnectivity.hubs.update

networkconnectivity.locations.*

  • networkconnectivity.locations.get
  • networkconnectivity.locations.list

networkconnectivity.operations.*

  • networkconnectivity.operations.cancel
  • networkconnectivity.operations.delete
  • networkconnectivity.operations.get
  • networkconnectivity.operations.list

networkconnectivity.spokes.*

  • networkconnectivity.spokes.create
  • networkconnectivity.spokes.delete
  • networkconnectivity.spokes.get
  • networkconnectivity.spokes.getIamPolicy
  • networkconnectivity.spokes.list
  • networkconnectivity.spokes.setIamPolicy
  • networkconnectivity.spokes.update

resourcemanager.projects.get

resourcemanager.projects.list

roles/networkconnectivity.hubViewer

ハブ アンド スポーク リソースに対する読み取り専用アクセス権を付与します。

このロールを付与できる最下位レベルのリソース:

  • プロジェクト

networkconnectivity.hubs.get

networkconnectivity.hubs.getIamPolicy

networkconnectivity.hubs.list

networkconnectivity.locations.*

  • networkconnectivity.locations.get
  • networkconnectivity.locations.list

networkconnectivity.spokes.get

networkconnectivity.spokes.getIamPolicy

networkconnectivity.spokes.list

resourcemanager.projects.get

resourcemanager.projects.list

roles/networkconnectivity.spokeAdmin

スポーク リソースに対する完全アクセス権と、ハブリソースへの読み取り専用アクセス権を付与します。

このロールを付与できる最下位レベルのリソース:

  • プロジェクト

1 つのオーナー権限を含む

networkconnectivity.hubs.get

networkconnectivity.hubs.getIamPolicy

networkconnectivity.hubs.list

networkconnectivity.locations.*

  • networkconnectivity.locations.get
  • networkconnectivity.locations.list

networkconnectivity.operations.get

networkconnectivity.operations.list

networkconnectivity.spokes.*

  • networkconnectivity.spokes.create
  • networkconnectivity.spokes.delete
  • networkconnectivity.spokes.get
  • networkconnectivity.spokes.getIamPolicy
  • networkconnectivity.spokes.list
  • networkconnectivity.spokes.setIamPolicy
  • networkconnectivity.spokes.update

resourcemanager.projects.get

resourcemanager.projects.list

必要な追加の権限

Network Connectivity Center で行う必要があるアクションによっては、次のセクションで説明する権限が必要になる場合があります。

スポークを作成する権限

スポークを作成するには、スポークのリソースタイプを読み取る権限が必要です。例:

  • すべてのリソースタイプには、compute.routers.get が必要です。
  • ルーター アプライアンスのスポークを作成するには、compute.instances.get が必要です。また、Router アプライアンス スポークを使用するには、Cloud Router とルーター アプライアンス インスタンスの間にピアリングを設定する必要があります。ピアリングを確立するには、次の権限が必要です。
    • compute.instances.use
    • compute.routers.update
  • VLAN アタッチメントのスポークを作成するには、compute.interconnectAttachments.get が必要です。
  • VPN トンネルのスポークを作成するには、compute.vpnTunnels.get が必要です。

Google Cloud コンソールで Network Connectivity Center を使用するための権限

Google Cloud コンソールで Network Connectivity Center を使用するには、Compute ネットワーク閲覧者roles/compute.networkViewer)などのロールが必要です。これには、次の表に示す権限が含まれています。

タスク

必要な権限

[Network Connectivity Center] ページにアクセスする
  • compute.projects.get
[スポークを追加する] ページにアクセスして使用する
  • compute.networks.list
  • compute.regions.list
  • compute.routers.list
  • compute.zones.list
VLAN アタッチメントのスポークを追加する
  • compute.interconnectAttachments.list
VPN スポークを追加する
  • compute.forwardingRules.list
  • compute.targetVpnGateways.list
  • compute.vpnGateways.list
  • compute.vpnTunnels.list

VPC Service Controls によるリソースの保護

Network Connectivity Center のリソースのセキュリティを強化するには、VPC Service Controls を使用します。

VPC Service Controls は、リソースのセキュリティを強化し、データの引き出しのリスクを軽減します。VPC Service Controls を使用すると、Network Connectivity Center のリソースをサービス境界内に配置できます。VPC Service Controls は、こうしたリソースを境界外からのリクエストから保護します。

サービス境界の詳細については、VPC Service Controls ドキュメントのサービス境界の構成ページをご覧ください。

次のステップ

プロジェクト ロールと Google Cloud リソースの詳細については、次のドキュメントをご覧ください。

Network Connectivity Center の詳細については、次をご覧ください。