访问权限控制机制

本页面介绍使用 Network Connectivity Center 所需的 Identity and Access Management (IAM) 角色和权限。

概括来讲,您需要执行以下步骤:

请注意,如果您需要在共享 VPC 网络中使用 Network Connectivity Center,则必须在宿主项目中拥有所有需要的权限。Hub、其 Spoke 以及所有相关资源都必须位于宿主项目中。

如需了解如何授予权限,请参阅 IAM 概览

预定义角色

下表介绍了 Network Connectivity Center 的预定义角色。

角色 名称 说明 权限 最低资源要求
roles/networkconnectivity.hubAdmin Hub & Spoke Admin 拥有对 Hub 和 Spoke 资源的完整访问权限。
  • networkconnectivity.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/networkconnectivity.hubViewer Hub & Spoke Viewer 拥有对 Hub 和 Spoke 资源的只读权限。
  • networkconnectivity.hubs.get
  • networkconnectivity.hubs.getIamPolicy
  • networkconnectivity.hubs.list
  • networkconnectivity.locations.*
  • networkconnectivity.spokes.get
  • networkconnectivity.spokes.getIamPolicy
  • networkconnectivity.spokes.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/networkconnectivity.spokeAdmin Spoke Admin 可实现对 spoke 资源的完整访问权限以及对 hub 资源的只读权限。
  • networkconnectivity.hubs.get
  • networkconnectivity.hubs.getIamPolicy
  • networkconnectivity.hubs.list
  • networkconnectivity.locations.*
  • networkconnectivity.spokes.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

其他必需的权限

根据您在 Network Connectivity Center 中需要执行的操作,您可能还需要以下各部分中所述的权限。

创建 Spoke 的权限

如需创建 Spoke,您必须有权读取该资源类型。例如:

  • 对于所有资源类型,您都需要 compute.routers.get
  • 如需创建路由器设备 Spoke,您需要 compute.instances.get。 此外,您必须先在 Cloud Router 路由器和路由器设备实例之间设置对等互连,然后才能使用路由器设备 spoke。如需建立对等互连,您需要以下权限:
    • compute.instances.use
    • compute.routers.update
  • 如需创建 VLAN 连接 Spoke,您需要 compute.interconnectAttachments.get
  • 如需创建 VPN 隧道 Spoke,您需要 compute.vpnTunnels.get

在 Cloud Console 中使用 Network Connectivity Center 的权限

如需在 Cloud Console 中使用 Network Connectivity Center,您需要一个诸如 Compute Network Viewer (roles/compute.networkViewer) 之类的角色,以提供下表中所述的权限。

任务

所需权限

访问 Network Connectivity Center 页面
  • compute.projects.get
访问并使用添加 Spoke 页面
  • compute.networks.list
  • compute.regions.list
  • compute.routers.list
  • compute.zones.list
添加 VLAN 连接 Spoke
  • compute.interconnectAttachments.list
添加 VPN Spoke
  • compute.forwardingRules.list
  • compute.targetVpnGateways.list
  • compute.vpnGateways.list
  • compute.vpnTunnels.list

使用 VPC Service Controls 保护资源

如需进一步保护 Network Connectivity Center 资源,请使用 VPC Service Controls。

VPC Service Controls 可为您的资源提供额外的安全保障,有助于降低数据渗漏的风险。通过使用 VPC Service Controls,您可以将 Network Connectivity Center 资源放置在服务边界内。然后,VPC Service Controls 会保护这些资源免受源自边界外的请求。

如需详细了解服务边界,请参阅 VPC Service Controls 文档中的服务边界配置页面。

后续步骤

如需详细了解项目角色和 Google Cloud 资源,请参阅以下文档:

如需详细了解 Network Connectivity Center,请参阅以下内容: