アクセス権の付与

ハブ管理者は、ハブに関連付けられている他のプロジェクト内にスポークを作成する権限を特定のユーザーに付与できます。ハブ管理者は、ハブがどのスポークを受け入れるかに関する完全な権限を保持しています。スポークは、ハブ管理者が明示的に承認するまでアクティブになりません。また、ハブ管理者は必要に応じていつでもスポークを拒否できます。

ハブに関連付けられている他のプロジェクト内にスポークを作成する権限を他のユーザーに付与するには、そのユーザーに roles/networkconnectivity.groupUser ロールを付与します。ハブに対する groupUser ロールを持つユーザーは、Identity and Access Management(IAM)リソース階層を通じて、そのハブ内のすべてのグループに対するこのロールを自動的に持つことになります。ハブ管理者は、ユーザーのアクセス権を取り消すこともできます。

始める前に

始める前に、次のセクションを確認してください。

プロジェクトを作成または選択する

Network Connectivity Center を簡単に構成できるように、まず、有効なプロジェクトを特定します。

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.
  5. To initialize the gcloud CLI, run the following command:

    gcloud init
  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Make sure that billing is enabled for your Google Cloud project.

  8. Install the Google Cloud CLI.
  9. To initialize the gcloud CLI, run the following command:

    gcloud init
  1. Google Cloud CLI を使用している場合は、gcloud config set コマンドを使用してプロジェクト ID を設定します。

    gcloud config set project PROJECT_ID

    PROJECT_ID は、一意のプロジェクト ID に置き換えます。

    このページの gcloud CLI の手順では、プロジェクト ID がすでに設定されていることを前提としています。

  1. プロジェクト ID が正しく設定されていることを確認するには、gcloud config list コマンドを使用します。

    gcloud config list --format='text(core.project)'

Network Connectivity API を有効にする

Network Connectivity Center を使用して任意のタスクを行う前に、Network Connectivity API を有効にする必要があります。

Console

Network Connectivity API を有効にするには:

  1. Google Cloud コンソールで [Network Connectivity Center] ページに移動します。

    Network Connectivity Center に移動

  2. [有効にする] をクリックします。

また、API の有効化で説明されているように、Google Cloud コンソール API ライブラリを使用して API を有効にすることもできます。

複数のプロジェクトでハブ内にスポークを作成するためのアクセス権を管理する

以下のセクションでは、ハブとは別のプロジェクト内にスポークを作成する権限を付与する方法、権限を取り消す方法、権限を確認する方法について説明します。

ハブに対する groupUser ロールを他のユーザーに付与する

ハブに対する networkconnectivity.groupUser ロールを他のユーザーに付与するには、次の手順を行います。

コンソール

  1. Google Cloud コンソールで [Network Connectivity Center] ページに移動します。

    Network Connectivity Center に移動

  2. プロジェクト メニューでプロジェクトを選択します。

  3. [ハブ] タブをクリックします。

  4. ハブのリストで、アクセス権を追加するハブを選択します。

  5. [権限] をクリックします。

  6. [権限] ダイアログで、[プリンシパルを追加] をクリックします。

  7. 追加する管理者のユーザー名を入力します。

  8. ロール管理ダイアログの [Network Connectivity] ロールリストから、[Spoke Admin] など、割り当てるロールを選択します。

  9. [保存] をクリックします。

gcloud

gcloud network-connectivity hubs add-iam-policy-binding コマンドを実行します。

gcloud network-connectivity hubs add-iam-policy-binding HUB_NAME \
    --member=MEMBER_DETAILS \
    --role='roles/networkconnectivity.groupUser'

次のように置き換えます。

  • HUB_NAME: スポークのハブ(my-hub など)。
  • MEMBER_DETAILS: アクセス権を付与するユーザーの詳細。識別子と形式の詳細については、プリンシパル識別子をご覧ください。

ハブに対する groupUser ロールをユーザーから取り消す

ハブに対する roles/networkconnectivity.groupUser ロールをユーザーから取り消すには、次の手順を行います。

gcloud

gcloud network-connectivity hubs remove-iam-policy-binding コマンドを実行します。

gcloud network-connectivity hubs remove-iam-policy-binding HUB_NAME \
    --member=MEMBER_DETAILS \
    --role='roles/networkconnectivity.groupUser'

次のように置き換えます。

  • HUB_NAME: スポークのハブ(my-hub など)。
  • MEMBER_DETAILS: アクセス権を削除するユーザーの詳細。識別子と形式の詳細については、プリンシパル識別子をご覧ください。

ユーザーに割り当てられている権限を確認する

ユーザーに付与されている、ハブに対する権限を確認するには、次の手順を行います。

gcloud

gcloud network-connectivity hubs get-iam-policy コマンドを実行します。

gcloud network-connectivity hubs get-iam-policy HUB_NAME

HUB_NAME は、権限を確認するハブの名前(my-hub など)に置き換えます。

次のステップ