ハブ管理者は、ハブに関連付けられている他のプロジェクト内にスポークを作成する権限を特定のユーザーに付与できます。ハブ管理者は、ハブがどのスポークを受け入れるかに関する完全な権限を保持しています。スポークは、ハブ管理者が明示的に承認するまでアクティブになりません。また、ハブ管理者は必要に応じていつでもスポークを拒否できます。
ハブに関連付けられている他のプロジェクト内にスポークを作成する権限を他のユーザーに付与するには、そのユーザーに roles/networkconnectivity.groupUser
ロールを付与します。ハブに対する groupUser
ロールを持つユーザーは、Identity and Access Management(IAM)リソース階層を通じて、そのハブ内のすべてのグループに対するこのロールを自動的に持つことになります。ハブ管理者は、ユーザーのアクセス権を取り消すこともできます。
始める前に
始める前に、次のセクションを確認してください。
プロジェクトを作成または選択する
Network Connectivity Center を簡単に構成できるように、まず、有効なプロジェクトを特定します。
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
Google Cloud CLI を使用している場合は、
gcloud config set
コマンドを使用してプロジェクト ID を設定します。gcloud config set project PROJECT_ID
PROJECT_ID
は、一意のプロジェクト ID に置き換えます。このページの gcloud CLI の手順では、プロジェクト ID がすでに設定されていることを前提としています。
プロジェクト ID が正しく設定されていることを確認するには、
gcloud config list
コマンドを使用します。gcloud config list --format='text(core.project)'
Network Connectivity API を有効にする
Network Connectivity Center を使用して任意のタスクを行う前に、Network Connectivity API を有効にする必要があります。
Console
Network Connectivity API を有効にするには:
Google Cloud コンソールで [Network Connectivity Center] ページに移動します。
[有効にする] をクリックします。
また、API の有効化で説明されているように、Google Cloud コンソール API ライブラリを使用して API を有効にすることもできます。
複数のプロジェクトでハブ内にスポークを作成するためのアクセス権を管理する
以下のセクションでは、ハブとは別のプロジェクト内にスポークを作成する権限を付与する方法、権限を取り消す方法、権限を確認する方法について説明します。
ハブに対する groupUser
ロールを他のユーザーに付与する
ハブに対する networkconnectivity.groupUser
ロールを他のユーザーに付与するには、次の手順を行います。
コンソール
Google Cloud コンソールで [Network Connectivity Center] ページに移動します。
プロジェクト メニューでプロジェクトを選択します。
[ハブ] タブをクリックします。
ハブのリストで、アクセス権を追加するハブを選択します。
[権限] をクリックします。
[権限] ダイアログで、[プリンシパルを追加] をクリックします。
追加する管理者のユーザー名を入力します。
ロール管理ダイアログの [Network Connectivity] ロールリストから、[Spoke Admin] など、割り当てるロールを選択します。
[保存] をクリックします。
gcloud
gcloud network-connectivity hubs add-iam-policy-binding
コマンドを実行します。
gcloud network-connectivity hubs add-iam-policy-binding HUB_NAME \ --member=MEMBER_DETAILS \ --role='roles/networkconnectivity.groupUser'
次のように置き換えます。
HUB_NAME
: スポークのハブ(my-hub
など)。MEMBER_DETAILS
: アクセス権を付与するユーザーの詳細。識別子と形式の詳細については、プリンシパル識別子をご覧ください。
ハブに対する groupUser
ロールをユーザーから取り消す
ハブに対する roles/networkconnectivity.groupUser
ロールをユーザーから取り消すには、次の手順を行います。
gcloud
gcloud network-connectivity hubs remove-iam-policy-binding
コマンドを実行します。
gcloud network-connectivity hubs remove-iam-policy-binding HUB_NAME \ --member=MEMBER_DETAILS \ --role='roles/networkconnectivity.groupUser'
次のように置き換えます。
HUB_NAME
: スポークのハブ(my-hub
など)。MEMBER_DETAILS
: アクセス権を削除するユーザーの詳細。識別子と形式の詳細については、プリンシパル識別子をご覧ください。
ユーザーに割り当てられている権限を確認する
ユーザーに付与されている、ハブに対する権限を確認するには、次の手順を行います。
gcloud
gcloud network-connectivity hubs get-iam-policy
コマンドを実行します。
gcloud network-connectivity hubs get-iam-policy HUB_NAME
HUB_NAME
は、権限を確認するハブの名前(my-hub
など)に置き換えます。
次のステップ
- ハブとスポークの作成については、ハブとスポークの操作をご覧ください。
- ソリューションが Network Connectivity Center と統合されているパートナーのリストを確認するには、Network Connectivity Center パートナーをご覧ください。
- 一般的な問題の解決策については、トラブルシューティングをご覧ください。
- API と
gcloud
コマンドの詳細については、API とリファレンスをご覧ください。