역할 및 권한

이 페이지에서는 네트워크 연결 센터를 사용하는 데 필요한 Identity and Access Management(IAM) 역할과 권한을 설명합니다.

대략적으로 다음이 필요합니다.

공유 VPC 네트워크에서 Network Connectivity Center를 사용해야 하는 경우 호스트 프로젝트에 필요한 모든 권한이 있어야 합니다. 허브, 스포크, 모든 관련 리소스가 호스트 프로젝트에 있어야 합니다.

권한을 부여하는 방법은 IAM 개요를 참조하세요.

사전 정의된 역할

다음 표에서는 Network Connectivity Center의 사전 정의된 역할을 설명합니다.

역할 권한

허브 및 스포크 관리자
(roles/networkconnectivity.hubAdmin)

허브 및 스포크 리소스에 대한 전체 액세스를 허용합니다.

이 역할을 부여할 수 있는 최하위 수준 리소스:

  • 프로젝트
  • networkconnectivity.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

허브 및 스포크 뷰어
(roles/networkconnectivity.hubViewer)

허브 및 스포크 리소스에 대한 읽기 전용 액세스를 허용합니다.

이 역할을 부여할 수 있는 최하위 수준 리소스:

  • 프로젝트
  • networkconnectivity.hubs.get
  • networkconnectivity.hubs.getIamPolicy
  • networkconnectivity.hubs.list
  • networkconnectivity.locations.*
  • networkconnectivity.spokes.get
  • networkconnectivity.spokes.getIamPolicy
  • networkconnectivity.spokes.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

스포크 관리자
(roles/networkconnectivity.spokeAdmin)

스포크 리소스에 대한 전체 액세스와 허브 리소스에 대한 읽기 전용 액세스를 사용 설정합니다.

이 역할을 부여할 수 있는 최하위 수준 리소스:

  • 프로젝트
  • networkconnectivity.hubs.get
  • networkconnectivity.hubs.getIamPolicy
  • networkconnectivity.hubs.list
  • networkconnectivity.locations.*
  • networkconnectivity.operations.get
  • networkconnectivity.operations.list
  • networkconnectivity.spokes.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

추가 필수 권한

Network Connectivity Center에서 수행해야 하는 작업에 따라 다음 섹션에 설명된 대로 권한이 필요할 수 있습니다.

스포크 만들기 권한

스포크를 만들려면 스포크의 리소스 유형을 읽을 수 있는 권한이 있어야 합니다. 예를 들면 다음과 같습니다.

  • 모든 리소스 유형에는 compute.routers.get이 필요합니다.
  • 라우터 어플라이언스 스포크를 만들려면 compute.instances.get이 필요합니다. 또한 라우터 어플라이언스 스포크를 사용할 수 있으려면 먼저 Cloud Router와 라우터 어플라이언스 인스턴스 사이의 피어링을 설정해야 합니다. 피어링을 설정하려면 다음 권한이 필요합니다.
    • compute.instances.use
    • compute.routers.update
  • VLAN 연결 스포크를 만들려면 compute.interconnectAttachments.get이 필요합니다.
  • VPN 터널 스포크를 만들려면 compute.vpnTunnels.get이 필요합니다.

콘솔에서 Network Connectivity Center를 사용할 수 있는 권한

콘솔에서 Network Connectivity Center를 사용하려면 Compute 네트워크 뷰어(roles/compute.networkViewer)와 같이 다음 표에 설명된 권한이 포함된 역할이 필요합니다.

작업

필수 권한

Network Connectivity Center 페이지에 액세스
  • compute.projects.get
스포크 추가 페이지 액세스 및 사용
  • compute.networks.list
  • compute.regions.list
  • compute.routers.list
  • compute.zones.list
VLAN 연결 스포크 추가
  • compute.interconnectAttachments.list
VPN 스포크 추가
  • compute.forwardingRules.list
  • compute.targetVpnGateways.list
  • compute.vpnGateways.list
  • compute.vpnTunnels.list

VPC 서비스 제어로 리소스 보호

Network Connectivity Center 리소스를 더 보호하려면 VPC 서비스 제어를 사용합니다.

VPC 서비스 제어는 데이터 무단 반출 위험을 줄이기 위해 추가적인 보안을 리소스에 제공합니다. VPC 서비스 제어를 사용하면 서비스 경계 내에 Network Connectivity Center 리소스를 배치할 수 있습니다. 그러면 VPC 서비스 제거가 경계 외부에서 시작하는 요청으로부터 이러한 리소스를 보호합니다.

서비스 경계에 대한 자세한 내용은 VPC 서비스 제어 문서의 서비스 경계 구성 페이지를 참조하세요.

다음 단계

프로젝트 역할 및 Google Cloud 리소스에 대한 자세한 내용은 다음 문서를 참조하세요.

Network Connectivity Center에 대한 자세한 내용은 다음을 참조하세요.