Conceder acesso

Como administrador do hub, pode conceder a utilizadores específicos a capacidade de criar raios em outros projetos associados ao hub e manter o controlo total sobre os raios que são aceites no hub. Os raios não ficam ativos até os aceitar explicitamente. Também pode rejeitar raios em qualquer altura, se necessário.

Para conceder a outro utilizador a capacidade de criar raios noutros projetos associados ao hub, pode conceder a função roles/networkconnectivity.groupUser a esse utilizador. Um utilizador com a função groupUser num hub tem automaticamente a função em todos os grupos no hub através da hierarquia de recursos da gestão de identidade e de acesso (IAM). Como administrador do hub, também pode revogar o acesso de um utilizador.

Antes de começar

Antes de começar, reveja as secções seguintes.

Crie ou selecione um projeto

Para facilitar a configuração do Network Connectivity Center, comece por identificar um projeto válido.

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.

  5. Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.

  6. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. Install the Google Cloud CLI.

  10. Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.

  11. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

  12. Se estiver a usar a CLI do Google Cloud, defina o ID do projeto com o comando gcloud config set.

    gcloud config set project PROJECT_ID

    Substitua PROJECT_ID pelo seu ID do projeto exclusivo.

    As instruções da CLI gcloud nesta página pressupõem que definiu o ID do projeto.

  13. Para confirmar que definiu o ID do projeto corretamente, use o comando gcloud config list.

    gcloud config list --format='text(core.project)'

    14. Ative a API Network Connectivity

    Antes de poder realizar quaisquer tarefas com o Network Connectivity Center, tem de ativar a API Network Connectivity.

    Consola

    Para ativar a API Network Connectivity:

    1. Na Google Cloud consola, aceda à página Centro de conetividade de rede.

      Aceder ao Network Connectivity Center

    2. Clique em Ativar.

    Em alternativa, pode ativar a API através da Google Cloud biblioteca de APIs da consola, conforme descrito no artigo Ativar APIs.

    Faça a gestão do acesso para criar raios em hubs em vários projetos

    As secções seguintes descrevem como conceder, revogar ou ver autorizações para criar raios em projetos diferentes de um hub.

    Conceda a função groupUser num hub a outro utilizador

    Para conceder a função networkconnectivity.groupUser num hub a outro utilizador, siga estes passos.

    Consola

    1. Na Google Cloud consola, aceda à página Centro de conetividade de rede.

      Aceder ao Network Connectivity Center

    2. No menu do projeto, selecione um projeto.

    3. Clique no separador Hubs.

    4. Na lista de hubs, selecione o hub ao qual quer adicionar acesso.

    5. Clique em Autorizações.

    6. Na caixa de diálogo Autorizações, clique em Adicionar principal.

    7. Introduza o nome de utilizador do administrador que quer adicionar.

    8. Na caixa de diálogo Gerir funções, na lista de funções de Conetividade de rede, selecione a função que quer atribuir, como Administrador de spoke.

    9. Clique em Guardar.

    gcloud

    Execute o comando gcloud network-connectivity hubs add-iam-policy-binding.

    gcloud network-connectivity hubs add-iam-policy-binding HUB_NAME \
    --member=MEMBER_DETAILS \
    --role='roles/networkconnectivity.groupUser'

    Substitua o seguinte:

    • HUB_NAME: o centro do nó, como my-hub.
    • MEMBER_DETAILS: detalhes sobre o utilizador ao qual quer conceder acesso. Para ver informações detalhadas acerca dos identificadores e do formato, consulte Identificadores principais.

    Revogue a função groupUser num hub a um utilizador

    Para revogar a função roles/networkconnectivity.groupUser de um utilizador num hub, siga estes passos.

    gcloud

    Execute o comando gcloud network-connectivity hubs remove-iam-policy-binding.

    gcloud network-connectivity hubs remove-iam-policy-binding HUB_NAME \
    --member=MEMBER_DETAILS \
    --role='roles/networkconnectivity.groupUser'

    Substitua o seguinte:

    • HUB_NAME: o centro do nó, como my-hub.
    • MEMBER_DETAILS: detalhes sobre o utilizador ao qual quer revogar o acesso. Para ver informações detalhadas acerca dos identificadores e do formato, consulte Identificadores principais.

    Veja as autorizações de um utilizador

    Siga estes passos para ver as autorizações concedidas a um utilizador num hub.

    gcloud

    Execute o comando gcloud network-connectivity hubs get-iam-policy.

    gcloud network-connectivity hubs get-iam-policy HUB_NAME

    Substitua HUB_NAME pelo nome do hub para o qual quer ver as autorizações, como my-hub.

    O que se segue?