Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) und Berechtigungen beschrieben, die zum Ausführen von Konnektivitätstests erforderlich sind.
Sie können Nutzern oder Dienstkonten Berechtigungen oder vordefinierte Rollen gewähren oder eine benutzerdefinierte Rolle mit den von Ihnen angegebenen Berechtigungen erstellen.
Die IAM-Berechtigungen verwenden das Präfix networkmanagement
.
Informationen zum Abrufen oder Festlegen von IAM-Richtlinien oder zum Testen von IAM-Berechtigungen mit der Network Management API finden Sie unter Zugriffsrichtlinien verwalten.
Rollen
In diesem Abschnitt wird beschrieben, wie Sie vor- und benutzerdefinierte Rollen beim Gewähren von Berechtigungen für Konnektivitätstests verwenden.
Eine Erläuterung der einzelnen Berechtigungen finden Sie in der Berechtigungstabelle.
Weitere Informationen zu Projektrollen und Google Cloud-Ressourcen finden Sie in der folgenden Dokumentation:
- Dokumentation zu Resource Manager
- Dokumentation zur Identitäts- und Zugriffsverwaltung
- Compute Engine-Dokumentation mit einer Beschreibung der Zugriffssteuerung
Vordefinierte Rollen
Konnektivitätstests haben die folgenden vordefinierten Rollen:
networkmanagement.admin
: hat die Berechtigung, alle Vorgänge für eine Testressource auszuführennetworkmanagement.viewer
: hat die Berechtigung, eine bestimmte Testressource aufzulisten oder abzurufen
Die folgende Tabelle enthält die vordefinierten Rollen und die Berechtigungen, die für die einzelnen Rollen gelten.
Role | Permissions |
---|---|
Network Management Admin( Full access to Network Management resources. Lowest-level resources where you can grant this role:
|
|
Network Management Viewer( Read-only access to Network Management resources. Lowest-level resources where you can grant this role:
|
|
Benutzerdefinierte Rollen
Sie können benutzerdefinierte Rollen erstellen, indem Sie eine Liste der Berechtigungen aus der Berechtigungstabelle für Konnektivitätstests auswählen.
Sie können beispielsweise eine Rolle mit dem Namen reachabilityUsers
erstellen und dieser Rolle die Berechtigungen list
, get
und rerun
zuweisen. Ein Nutzer mit dieser Rolle kann vorhandene Konnektivitätstests noch einmal ausführen und anhand der aktuellen Netzwerkkonfiguration aktualisierte Testergebnisse aufrufen.
Projektrollen
Sie können Projektrollen verwenden, um Berechtigungen für Google Cloud-Ressourcen festzulegen.
Da Konnektivitätstests Lesezugriff auf die Google Cloud-Ressourcenkonfigurationen in Ihrem VPC-Netzwerk (Virtual Private Cloud) haben müssen, benötigen Nutzer oder Dienstkonten mindestens die Rolle des Compute-Netzwerkbetrachters (roles/compute.networkViewer
), um einen Test für diese Ressourcen auszuführen. Sie können auch eine benutzerdefinierte Rolle erstellen oder vorübergehend Berechtigungen autorisieren, die der vorherigen Rolle für einen bestimmten Nutzer zugeordnet sind.
Alternativ können Sie einem Nutzer oder Dienstkonto eine der folgenden vordefinierten Rollen für Google Cloud-Projekte zuweisen:
project.viewer
: verfügt über alle Berechtigungen einernetworkmanagement.viewer
-Rolleproject.editor
oderproject.owner
: verfügt über alle Berechtigungen der Rollenetworkmanagement.admin
Berechtigungen
In diesem Abschnitt werden Berechtigungen für Konnektivitätstests und ihre Verwendung beim Testen verschiedener Typen von Netzwerkkonfigurationen erläutert.
Berechtigungen für Konnektivitätstests
Konnektivitätstests haben die folgenden IAM-Berechtigungen.
Berechtigung | Beschreibung |
---|---|
networkmanagement.connectivitytests.list |
Listet alle Tests auf, die im angegebenen Projekt konfiguriert wurden |
networkmanagement.connectivitytests.get |
Ruft die Details eines bestimmten Tests ab |
networkmanagement.connectivitytests.create |
Erstellt ein neues Testobjekt im angegebenen Projekt mit den Daten, die Sie für den Test angeben. Diese Berechtigung beinhaltet die Berechtigung, Tests zu aktualisieren, noch einmal auszuführen oder zu löschen. |
networkmanagement.connectivitytests.update |
Aktualisiert ein oder mehrere Felder in einem vorhandenen Test |
networkmanagement.connectivitytests.delete |
Löscht den angegebenen Test |
networkmanagement.connectivitytests.rerun |
Führt eine einmalige Überprüfung der Erreichbarkeit für einen bestimmten Test noch einmal aus |
Wenn Sie keine Berechtigung zum Erstellen oder Aktualisieren eines Tests haben, sind die entsprechenden Schaltflächen inaktiv. Dazu gehören die Schaltfläche Konnektivitätstest erstellen und auf der Seite Verbindungstestdetails die Schaltfläche Bearbeiten. Wenn Sie den Mauszeiger auf die inaktive Schaltfläche bewegen, wird in beiden Fällen eine Nachricht mit einer Beschreibung der erforderlichen Berechtigung angezeigt.
Berechtigungen zum Aufrufen von Testergebnissen
Wenn Sie keine Berechtigung zum Aufrufen der Compute Engine-Ressourcen im Netzwerkpfad haben, die getestet werden sollen, können Sie trotzdem das gesamte Testergebnis aufrufen. Details zu den getesteten Ressourcen sind jedoch ausgeblendet.
Projektressourcen
Wenn Sie keinen Zugriff auf eine in einem Trace aufgeführte Projektressource haben, wird mit dem Analyseergebnis in der Regel eine Nachricht folgender Art angezeigt: No permission to view
the resource
.
Bei Konnektivitätstests werden der Ressourcentyp, der Ressourcenname und andere Details ausgeblendet. Der Trace zeigt aber das Projekt an, mit dem die Ressource verknüpft ist.
Hierarchische Firewallrichtlinien
Ihr Trace kann eine hierarchische Firewallrichtlinie enthalten, für die Sie keine Aufrufberechtigung haben. Es werden aber, auch wenn Sie nicht dazu berechtigt sind, die Richtliniendetails aufzurufen, nach wie vor die Richtlinienregeln für Ihr VPC-Netzwerk angezeigt. Weitere Informationen finden Sie unter Effektive Firewallregeln in der Übersicht der hierarchischen Firewallrichtlinien.
Berechtigungen für mehrere Projekte
Wenn die von Ihnen getestete Netzwerkkonfiguration VPC-Netzwerk-Peering oder eine freigegebene VPC verwendet, müssen Konnektivitätstests über ausreichende Berechtigungen verfügen, um auf Konfigurationen in den zahlreichen Projekten zuzugreifen, die diese Netzwerke verwenden.
Mit diesen Berechtigungen können Konnektivitätstests einen oder mehrere vollständige Traces des Paketpfads über verschiedene Netzwerke und Projekte ausführen. Andernfalls können Konnektivitätstests nur auf Konfigurationen innerhalb dieses Projekts zugreifen.
Berechtigungen für freigegebene VPC-Netzwerke
Für das Testen eines Dienstprojekts in einem freigegebenen VPC-Netzwerk benötigen Sie die Rolle Compute-Netzwerkbetrachter (roles/compute.networkViewer
) oder die Legacy-Rolle Projektbetrachter (roles/viewer
) für das Hostprojekt. Dies ist erforderlich, da sich die Firewall- und Routenkonfigurationen des Netzwerks im Hostprojekt befinden. Sie benötigen eine dieser Rollen, auch wenn die Ressourcen, die getestet werden sollen, vollständig in einem einzelnen Dienstprojekt enthalten sind.
Um einen Test vom Hostprojekt einer freigegebenen VPC für VM-Instanzen in einem Dienstprojekt auszuführen, benötigen Sie ebenfalls eine dieser Rollen (roles/compute.networkViewer
oder roles/viewer
) im Dienstprojekt. Darüber hinaus müssen Sie beim Erstellen des Tests die Dienstprojekt-ID angeben. Wenn Sie diese ID nicht angeben, zeigt der Konnektivitätstest das allgemeine Erreichbarkeitsergebnis Unreachable
mit der Nachricht unknown IP address
an.
Berechtigungen für VPC-Netzwerk-Peering, Cloud VPN und Cloud Interconnect
Bei einem Konnektivitätstest, der die Erreichbarkeit zwischen Projekten prüft, die über VPC-Netzwerk-Peering verbunden sind, variieren die angezeigten Ergebnisse abhängig von Ihren Berechtigungen.
Um die vollständigen Ergebnisse der Analyse zu sehen, benötigen Sie Rolle „Compute-Netzwerkbetrachter“ (roles/compute.networkViewer
) oder Legacy-Rolle „Projektbetrachter“ (roles/viewer
) in beiden Projekten.
Wenn Sie eine dieser Rollen für das Netzwerk haben, das den Quellendpunkt enthält, aber nicht für das Netzwerk, in dem sich das Ziel befindet, zeigt die Analyse ein Teilergebnis an. In der Analyse wird dann angegeben, dass das Paket an ein VPC-Netzwerk-Peering-Netzwerk gesendet wurde. Konnektivitätstests können aber keine weiteren Informationen für dieses Netzwerk bereitstellen.
Nächste Schritte
- Zugriffsrichtlinien verwalten
- Weitere Informationen zu Konnektivitätstests
- Konnektivitätstests erstellen und ausführen
- Fehlerbehebung bei Konnektivitätstests