이 페이지에서는 연결 테스트 실행에 필요한 ID 및 액세스 관리(IAM) 역할과 권한을 설명합니다.
사용자 또는 서비스 계정에 권한이나 사전 정의된 역할을 부여하거나 지정된 권한을 사용하는 커스텀 역할을 만들 수 있습니다.
IAM 권한에서는 networkmanagement
프리픽스를 사용합니다.
IAM 정책을 가져오거나 설정하거나 Network Management API로 IAM 권한을 테스트하려면 액세스 제어 관리 정책을 참조하세요.
역할
이 섹션에서는 연결 테스트에 대한 권한을 부여할 때 사전 정의 된 커스텀 역할을 사용하는 방법에 대해 설명합니다.
각 권한에 대한 설명은 권한 테이블을 참조하세요.
프로젝트 역할 및 Google Cloud 리소스에 대한 자세한 내용은 다음 문서를 참조하세요.
사전 정의된 역할
연결 테스트에는 다음과 같은 사전 정의된 역할이 있습니다.
networkmanagement.admin
: 이 역할에는 테스트 리소스에서 모든 작업을 수행할 수 있는 권한이 있습니다.networkmanagement.viewer
: 이 역할에는 특정 테스트 리소스를 나열하거나 가져올 수 있는 권한이 있습니다.
다음 표에는 사전 정의된 역할 및 각 역할에 적용되는 권한이 나와 있습니다.
Role | Permissions |
---|---|
Network Management Admin( Full access to Network Management resources. Lowest-level resources where you can grant this role:
|
|
Network Management Viewer( Read-only access to Network Management resources. Lowest-level resources where you can grant this role:
|
|
커스텀 역할
연결 테스트에 대한 권한 테이블에서 권한 목록을 선택하여 커스텀 역할을 만들 수 있습니다.
예를 들어 reachabilityUsers
라는 역할을 만들고 이 역할에 list
, get
, rerun
권한을 부여할 수 있습니다. 이 역할이 있는 사용자는 기존 연결 테스트를 다시 실행하고 최신 네트워크 구성을 기반으로 업데이트된 테스트 결과를 볼 수 있습니다.
프로젝트 역할
프로젝트 역할을 사용하여 Google Cloud 리소스에 대한 권한을 설정할 수 있습니다.
테스트를 실행하려면 연결 테스트에 Virtual Private Cloud(VPC) 네트워크의 Google Cloud 리소스 구성에 대한 읽기 액세스 권한이 있어야 하므로 해당 리소스에 테스트를 실행하는 사용자 또는 서비스 계정에 최소한 Compute 네트워크 뷰어 역할(roles/compute.networkViewer
)을 부여해야 합니다. 커스텀 역할을 만들거나 특정 사용자의 이전 역할과 관련된 권한을 임시로 승인할 수도 있습니다.
또는 사용자나 서비스 계정에 Google Cloud 프로젝트에 대해 다음과 같은 사전 정의된 역할 중 하나를 부여할 수 있습니다.
project.viewer
에는networkmanagement.viewer
역할의 모든 권한이 있습니다.project.editor
또는project.owner
에는networkmanagement.admin
역할의 모든 권한이 있습니다.
권한
이 섹션에서는 연결 테스트에 대한 권한과 다른 유형의 네트워크 구성을 테스트할 때 사용하는 방법에 대해 설명합니다.
연결 테스트 권한
연결 테스트에는 다음과 같은 IAM 권한이 있습니다.
권한 | 설명 |
---|---|
networkmanagement.connectivitytests.list |
지정된 프로젝트에 구성된 모든 테스트를 나열합니다. |
networkmanagement.connectivitytests.get |
특정 테스트의 세부정보를 가져옵니다. |
networkmanagement.connectivitytests.create |
테스트에 지정한 데이터를 사용하여 지정된 프로젝트에 새 테스트 객체를 만듭니다. 이 권한에는 테스트 업데이트, 재실행 또는 삭제 권한이 포함됩니다. |
networkmanagement.connectivitytests.update |
기존 테스트에서 하나 이상의 필드를 업데이트합니다. |
networkmanagement.connectivitytests.delete |
지정된 테스트를 삭제합니다. |
networkmanagement.connectivitytests.rerun |
지정된 테스트에 대해 일회성 연결 가능성 확인을 다시 실행합니다. |
테스트를 만들거나 업데이트할 권한이 없는 경우 해당 버튼이 비활성 상태가 됩니다. 이러한 버튼은 연결 테스트 만들기 버튼과 연결 테스트 세부정보 페이지의 수정 버튼입니다. 각 경우에 비활성 버튼 위로 마우스 포인터를 가져가면 연결 테스트에 필요한 권한을 설명하는 메시지가 표시됩니다.
테스트 실행 권한
테스트를 실행하려면 다음 역할 및 권한이 필요합니다.
- 연결 테스트 리소스가 있는 프로젝트의
networkmanagement.connectivitytests.create
권한(또는networkmanagement.connectivitytests.rerun
) - Trace 경로에 포함된 모든 프로젝트에 대한 Compute 네트워크 뷰어 역할(
roles/compute.networkViewer
) 또는 기존 뷰어 역할(roles/viewer
)
다양한 유형의 연결 옵션에 대한 다음 추가 고려 사항에 유의하세요.
VPC 네트워크 피어링, Network Connectivity Center 또는 Cloud VPN 연결
Trace 경로에 다른 프로젝트의 네트워크에 대한 VPC 네트워크 피어링, Network Connectivity Center 또는 Cloud VPN 연결이 포함된 경우 해당 프로젝트에 대한 권한이 있는 경우에만 해당 네트워크의 패킷 경로가 시뮬레이션됩니다. 그러지 않으면 불완전한 테스트 결과가 반환됩니다(예: 전달 최종 상태로 끝나는 trace).
공유 VPC 프로젝트
소스 또는 대상 엔드포인트(예: 가상 머신(VM) 인스턴스)가 공유 VPC를 사용하는 경우 호스트 프로젝트와 서비스 프로젝트 모두에 액세스할 수 있는 권한이 있어야 합니다.
- 호스트 프로젝트와 서비스 프로젝트 모두에 액세스할 권한이 있는 경우 trace 정보에 모든 관련 리소스에 관한 세부정보가 포함됩니다.
- 두 프로젝트 중 하나에 액세스할 권한이 없는 경우 이 프로젝트에 정의된 리소스에 관한 정보가 trace에서 숨겨집니다. 권한 오류가 표시됩니다.
예시
VM 인스턴스 프로젝트(서비스 프로젝트)에는 액세스할 수 있지만 네트워크 프로젝트(호스트 프로젝트)에는 액세스할 수 없습니다. 이 VM 인스턴스를 소스(이름으로 지정)로 사용하여 테스트를 실행하면 호스트 프로젝트와 관련된 모든 단계(예: 방화벽 또는 경로 적용)가 숨겨집니다.
네트워크 프로젝트(호스트 프로젝트)에는 액세스할 수 있지만 VM 프로젝트(서비스 프로젝트)에는 액세스할 수 없습니다. 이 VM 인스턴스를 소스(IP 주소로 지정)로 사용하여 테스트를 실행하면 서비스 프로젝트와 관련된 모든 단계(예: VM 인스턴스 세부정보가 있는 단계)가 숨겨집니다.
Private Service Connect의 게시된 서비스
패킷이 Private Service Connect 엔드포인트 또는 Private Service Connect 백엔드를 통해 Private Service Connect의 게시된 서비스로 이동하는 경우 프로듀서 프로젝트의 trace 부분은 액세스 권한이 있는 경우에만 표시됩니다. 그렇지 않으면 trace가 PSC 프로듀서 프로젝트에 전송된 패킷 또는 PSC 프로듀서 프로젝트 내에서 삭제된 패킷과 같은 일반적인 최종 상태로 종료됩니다.
Google 관리 서비스
패킷이 Google 관리 서비스(예: Cloud SQL)와 연결된 Google 관리 네트워크를 오가는 경우 Google 관리 프로젝트 내부의 단계는 표시되지 않습니다. 일반적인 시작 단계 또는 마지막 단계가 표시됩니다.
Google Cloud 리소스의 공개 IP 주소
프로젝트 중 하나의 리소스에 할당된 공개 IP 주소를 테스트 소스 또는 대상으로 지정했지만 이 주소의 리소스가 정의된 프로젝트에 대한 권한이 없는 경우 이 IP 주소는 인터넷 IP 주소로 간주됩니다. 이 리소스에 도달한 후에는 기본 리소스 또는 패킷 경로에 관한 세부정보가 표시되지 않습니다.
테스트 결과 보기 권한
테스트 결과를 보려면 다음 사항에 유의하세요.
- 2024년 10월 이후에 생성되거나 업데이트된 테스트 결과를 보려면 테스트 리소스(
networkmanagement.connectivitytests.get
)를 볼 수 있는 권한만 있으면 되며, trace 경로에 포함된 리소스 및 프로젝트에 대한 권한은 필요하지 않습니다. - 2024년 10월 이전에 실행된 테스트 결과를 보려면 trace 경로에 포함된 모든 프로젝트에 대한 Compute 네트워크 뷰어 역할 또는 기존 뷰어 역할(
roles/viewer
)이 있어야 합니다.
계층식 방화벽 정책
trace에는 볼 수 있는 권한이 없는 계층식 방화벽 정책이 포함될 수 있습니다. 하지만 정책 세부정보를 볼 권한이 없는 경우에도 VPC 네트워크에 적용되는 정책 규칙을 볼 수 있습니다. 자세한 내용은 '계층식 방화벽 정책' 개요의 IAM 역할을 참조하세요.