Peran dan izin

Halaman ini menjelaskan peran dan izin Identity and Access Management (IAM) yang diperlukan untuk menjalankan Uji Konektivitas.

Anda dapat memberikan izin atau peran yang telah ditetapkan kepada pengguna atau akun layanan, atau membuat peran khusus dengan menggunakan izin yang Anda tentukan.

Izin IAM menggunakan awalan networkmanagement.

Untuk mendapatkan atau menetapkan kebijakan IAM, atau untuk menguji izin IAM dengan Network Management API, lihat Mengelola kebijakan akses.

Peran

Bagian ini menjelaskan cara menggunakan peran yang telah ditetapkan dan peran khusus saat memberikan izin untuk Uji Konektivitas.

Untuk penjelasan tentang setiap izin, lihat tabel izin.

Untuk mengetahui informasi selengkapnya tentang peran project dan resource Google Cloud, lihat dokumentasi berikut:

Peran yang telah ditetapkan

Uji Konektivitas memiliki peran bawaan berikut:

  • networkmanagement.admin memiliki izin untuk menjalankan semua operasi pada resource pengujian.
  • networkmanagement.viewer memiliki izin untuk mencantumkan atau mendapatkan resource pengujian tertentu.

Tabel berikut mencantumkan peran yang telah ditetapkan dan izin yang berlaku untuk setiap peran.

Role Permissions

(roles/networkmanagement.admin)

Full access to Network Management resources.

Lowest-level resources where you can grant this role:

  • Project

networkmanagement.*

  • networkmanagement.connectivitytests.create
  • networkmanagement.connectivitytests.delete
  • networkmanagement.connectivitytests.get
  • networkmanagement.connectivitytests.getIamPolicy
  • networkmanagement.connectivitytests.list
  • networkmanagement.connectivitytests.rerun
  • networkmanagement.connectivitytests.setIamPolicy
  • networkmanagement.connectivitytests.update
  • networkmanagement.locations.get
  • networkmanagement.locations.list
  • networkmanagement.operations.cancel
  • networkmanagement.operations.delete
  • networkmanagement.operations.get
  • networkmanagement.operations.list
  • networkmanagement.vpcflowlogsconfigs.create
  • networkmanagement.vpcflowlogsconfigs.delete
  • networkmanagement.vpcflowlogsconfigs.get
  • networkmanagement.vpcflowlogsconfigs.list
  • networkmanagement.vpcflowlogsconfigs.update

resourcemanager.organizations.get

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkmanagement.viewer)

Read-only access to Network Management resources.

Lowest-level resources where you can grant this role:

  • Project

networkmanagement.connectivitytests.get

networkmanagement.connectivitytests.getIamPolicy

networkmanagement.connectivitytests.list

networkmanagement.locations.*

  • networkmanagement.locations.get
  • networkmanagement.locations.list

networkmanagement.operations.get

networkmanagement.operations.list

networkmanagement.vpcflowlogsconfigs.get

networkmanagement.vpcflowlogsconfigs.list

resourcemanager.organizations.get

resourcemanager.projects.get

resourcemanager.projects.list

Peran khusus

Anda dapat membuat peran khusus dengan memilih daftar izin dari tabel izin untuk Uji Konektivitas.

Misalnya, Anda dapat membuat peran bernama reachabilityUsers, dan memberikan izin list, get, dan rerun ke peran ini. Pengguna dengan peran ini dapat menjalankan kembali Uji Konektivitas yang ada dan melihat hasil pengujian terbaru berdasarkan konfigurasi jaringan terbaru.

Peran project

Anda dapat menggunakan peran project untuk menetapkan izin ke resource Google Cloud. Karena Uji Konektivitas harus memiliki akses baca ke konfigurasi resource Google Cloud di jaringan Virtual Private Cloud (VPC) Anda untuk menjalankan pengujian, Anda harus memberikan setidaknya peran Compute Network Viewer (roles/compute.networkViewer) kepada pengguna atau akun layanan yang menjalankan pengujian terhadap resource tersebut. Anda juga dapat membuat peran khusus atau mengizinkan sementara izin yang terkait dengan peran sebelumnya untuk pengguna tertentu.

Atau, Anda dapat memberi pengguna atau akun layanan salah satu peran yang telah ditetapkan berikut untuk project Google Cloud:

Izin

Bagian ini menjelaskan izin untuk Uji Konektivitas dan cara menggunakannya saat menguji berbagai jenis konfigurasi jaringan.

Izin Uji Konektivitas

Uji Konektivitas memiliki izin IAM berikut.

Izin Deskripsi
networkmanagement.connectivitytests.list Mencantumkan semua pengujian yang dikonfigurasi dalam project yang ditentukan.
networkmanagement.connectivitytests.get Mendapatkan detail pengujian tertentu.
networkmanagement.connectivitytests.create Membuat objek pengujian baru dalam project yang ditentukan dengan data yang Anda tentukan untuk pengujian. Izin ini mencakup izin untuk mengupdate, menjalankan ulang, atau menghapus pengujian.
networkmanagement.connectivitytests.update Memperbarui satu atau beberapa kolom dalam pengujian yang ada.
networkmanagement.connectivitytests.delete Menghapus pengujian yang ditentukan.
networkmanagement.connectivitytests.rerun Menjalankan kembali verifikasi keterjangkauan satu kali untuk pengujian yang ditentukan.

Jika Anda tidak memiliki izin untuk membuat atau memperbarui pengujian, tombol yang sesuai akan menjadi tidak aktif. Fitur ini termasuk tombol Buat uji konektivitas dan, di halaman Detail pengujian konektivitas, tombol Edit. Dalam setiap kasus, saat Anda mengarahkan kursor ke tombol nonaktif, Uji Konektivitas akan menampilkan pesan yang menjelaskan izin yang Anda perlukan.

Izin untuk melihat hasil pengujian

Jika tidak memiliki izin untuk melihat resource Compute Engine di jalur jaringan yang diuji, Anda masih dapat melihat hasil pengujian secara keseluruhan, tetapi detail tentang resource yang diuji akan disembunyikan.

Referensi project

Secara umum, jika Anda tidak memiliki akses ke resource project yang tercantum dalam rekaman aktivitas, hasil analisis akan menampilkan pesan yang terbaca di bagian No permission to view the resource. Uji Konektivitas menyembunyikan jenis resource, nama resource, dan detail lainnya. Namun, rekaman aktivitas mengidentifikasi project yang terkait dengan resource.

Kebijakan firewall hierarkis

Pelacakan Anda mungkin mencakup kebijakan firewall hierarkis yang tidak dapat Anda lihat. Namun, meskipun tidak memiliki izin untuk melihat detail kebijakan, Anda masih dapat melihat aturan kebijakan yang berlaku untuk jaringan VPC Anda. Untuk mengetahui detailnya, lihat Aturan firewall yang efektif dalam ringkasan kebijakan firewall hierarkis.

Izin di beberapa project

Jika konfigurasi jaringan yang Anda uji menggunakan Peering Jaringan VPC atau VPC Bersama, Pengujian Konektivitas harus memiliki izin yang memadai untuk mengakses konfigurasi di beberapa project yang digunakan oleh jaringan tersebut.

Izin ini memungkinkan Uji Konektivitas menjalankan satu atau beberapa trace lengkap jalur paket di berbagai jaringan dan project. Jika tidak, Pengujian Konektivitas hanya dapat mengakses konfigurasi dalam project tersebut.

Izin untuk jaringan VPC Bersama

Untuk menjalankan pengujian dari project layanan di jaringan VPC Bersama, Anda harus memiliki peran Compute Network Viewer (roles/compute.networkViewer) atau peran Project Viewer lama (roles/viewer) untuk project host. Persyaratan ini ada karena jaringan firewall dan konfigurasi rute jaringan berada di project host. Anda harus memiliki salah satu dari peran ini meskipun resource yang Anda uji sepenuhnya berada dalam satu project layanan.

Untuk menjalankan pengujian dari project host VPC Bersama ke instance virtual machine (VM) dalam suatu project layanan, Anda juga harus memiliki salah satu peran ini (roles/compute.networkViewer atau roles/viewer) dalam project layanan. Selain itu, saat membuat pengujian, Anda harus memberikan project ID layanan. Jika Anda tidak memberikan ID ini, Uji Konektivitas akan menunjukkan hasil keterjangkauan keseluruhan dari Unreachable dengan pesan unknown IP address.

Izin untuk Peering Jaringan VPC, Cloud VPN, dan Cloud Interconnect

Jika Anda menggunakan Uji Konektivitas yang memeriksa jangkauan antar-project yang terhubung melalui Peering Jaringan VPC, hasil yang Anda lihat akan bervariasi bergantung pada izin Anda.

Untuk melihat hasil lengkap analisis, Anda harus memiliki peran Compute Network Viewer (roles/compute.networkViewer) atau peran Project Viewer (roles/viewer) lama di kedua project.

Jika Anda memiliki salah satu peran ini untuk jaringan yang berisi endpoint sumber, tetapi tidak jaringan yang berisi tujuan, analisis akan menampilkan sebagian hasil. Artinya, analisis menunjukkan bahwa paket dikirim ke jaringan Peering Jaringan VPC. Namun, Uji Konektivitas tidak dapat memberikan informasi tambahan untuk jaringan tersebut.

Langkah selanjutnya