Cette page a été traduite par l'API Cloud Translation.

Rôles et autorisations

Cette page décrit les rôles et les autorisations IAM (Identity and Access Management) requis pour exécuter des tests de connectivité.

Vous pouvez attribuer des autorisations ou des rôle prédéfinis à des utilisateurs ou à des comptes de service. Vous pouvez également créer un rôle personnalisé doté des autorisations que vous spécifiez.

Les autorisations IAM utilisent un préfixe networkmanagement.

Pour obtenir ou définir des stratégies IAM, ou pour tester les autorisations IAM avec l'API Network Management, consultez la section Gérer les règles d'accès.

Rôles

Cette section explique comment utiliser des rôles prédéfinis et personnalisés lors de l'octroi d'autorisations pour Connectivity Tests.

Pour en savoir plus sur chaque autorisation, consultez le tableau des autorisations.

Pour plus d'informations sur les rôles au niveau du projet et les ressources Google Cloud, consultez les documentations suivantes :

Rôles prédéfinis

Connectivity Tests offre les rôles prédéfinis suivants :

networkmanagement.admin : dispose des autorisations nécessaires pour effectuer toutes les opérations sur une ressource de test.
networkmanagement.viewer : dispose des autorisations nécessaires pour répertorier ou obtenir une ressource de test spécifique.

Le tableau suivant répertorie les rôles prédéfinis et les autorisations qui s'appliquent à chaque rôle.

Role Permissions

Role	Permissions
Network Management Admin (`roles/networkmanagement.admin`) Full access to Network Management resources. Lowest-level resources where you can grant this role: Project	`networkmanagement.*` `networkmanagement.connectivitytests.create` `networkmanagement.connectivitytests.delete` `networkmanagement.connectivitytests.get` `networkmanagement.connectivitytests.getIamPolicy` `networkmanagement.connectivitytests.list` `networkmanagement.connectivitytests.rerun` `networkmanagement.connectivitytests.setIamPolicy` `networkmanagement.connectivitytests.update` `networkmanagement.locations.get` `networkmanagement.locations.list` `networkmanagement.operations.cancel` `networkmanagement.operations.delete` `networkmanagement.operations.get` `networkmanagement.operations.list` `networkmanagement.vpcflowlogsconfigs.create` `networkmanagement.vpcflowlogsconfigs.delete` `networkmanagement.vpcflowlogsconfigs.get` `networkmanagement.vpcflowlogsconfigs.list` `networkmanagement.vpcflowlogsconfigs.update` `resourcemanager.organizations.get` `resourcemanager.projects.get` `resourcemanager.projects.list`
Network Management Viewer (`roles/networkmanagement.viewer`) Read-only access to Network Management resources. Lowest-level resources where you can grant this role: Project	`networkmanagement.connectivitytests.get` `networkmanagement.connectivitytests.getIamPolicy` `networkmanagement.connectivitytests.list` `networkmanagement.locations.*` `networkmanagement.locations.get` `networkmanagement.locations.list` `networkmanagement.operations.get` `networkmanagement.operations.list` `networkmanagement.vpcflowlogsconfigs.get` `networkmanagement.vpcflowlogsconfigs.list` `resourcemanager.organizations.get` `resourcemanager.projects.get` `resourcemanager.projects.list`

Network Management Admin

(roles/networkmanagement.admin)

Full access to Network Management resources.

Lowest-level resources where you can grant this role:

Project

networkmanagement.*

networkmanagement.connectivitytests.create
networkmanagement.connectivitytests.delete
networkmanagement.connectivitytests.get
networkmanagement.connectivitytests.getIamPolicy
networkmanagement.connectivitytests.list
networkmanagement.connectivitytests.rerun
networkmanagement.connectivitytests.setIamPolicy
networkmanagement.connectivitytests.update
networkmanagement.locations.get
networkmanagement.locations.list
networkmanagement.operations.cancel
networkmanagement.operations.delete
networkmanagement.operations.get
networkmanagement.operations.list
networkmanagement.vpcflowlogsconfigs.create
networkmanagement.vpcflowlogsconfigs.delete
networkmanagement.vpcflowlogsconfigs.get
networkmanagement.vpcflowlogsconfigs.list
networkmanagement.vpcflowlogsconfigs.update

resourcemanager.organizations.get

resourcemanager.projects.get

resourcemanager.projects.list

Network Management Viewer

(roles/networkmanagement.viewer)

Read-only access to Network Management resources.

Lowest-level resources where you can grant this role:

Project

networkmanagement.connectivitytests.get

networkmanagement.connectivitytests.getIamPolicy

networkmanagement.connectivitytests.list

networkmanagement.locations.*

networkmanagement.locations.get
networkmanagement.locations.list

networkmanagement.operations.get

networkmanagement.operations.list

networkmanagement.vpcflowlogsconfigs.get

networkmanagement.vpcflowlogsconfigs.list

resourcemanager.organizations.get

resourcemanager.projects.get

resourcemanager.projects.list

Rôles personnalisés

Vous pouvez créer des rôles personnalisés en sélectionnant une liste d'autorisations dans la table d'autorisations pour Connectivity Tests.

Par exemple, vous pouvez créer un rôle appelé reachabilityUsers et lui accorder les autorisations list, get et rerun. Un utilisateur disposant de ce rôle peut réexécuter les tests de connectivité existants et afficher les résultats des tests mis à jour en fonction de la dernière configuration réseau.

Rôles au niveau du projet

Vous pouvez utiliser les rôles du projet pour définir des autorisations sur les ressources Google Cloud. Étant donné que les tests de connectivité doivent disposer d'un accès en lecture aux configurations de ressources Google Cloud sur votre réseau VPC (cloud privé virtuel) pour exécuter un test, vous devez attribuer au moins le rôle de lecteur de réseau de Compute (roles/compute.networkViewer) aux utilisateurs ou aux comptes de service qui effectuent un test sur ces ressources. Vous pouvez également créer un rôle personnalisé ou autoriser temporairement des autorisations associées au rôle précédent pour un utilisateur spécifique.

Vous pouvez également accorder à un compte d'utilisateur ou un compte service l'un des rôles prédéfinis suivants pour les projets Google Cloud :

project.viewer : dispose de toutes les autorisations d'un rôle networkmanagement.viewer.
project.editor ou project.owner : dispose de toutes les autorisations du rôle networkmanagement.admin.

Autorisations

Cette section décrit les autorisations pour Connectivity Tests et leur utilisation lors du test de différents types de configurations réseau.

Autorisations Connectivity Tests

Connectivity Tests dispose des autorisations IAM suivantes.

Autorisation	Description
`networkmanagement.connectivitytests.list`	Répertorie tous les tests configurés dans le projet spécifié.
`networkmanagement.connectivitytests.get`	Récupère les détails d'un test spécifique.
`networkmanagement.connectivitytests.create`	Crée un nouvel objet de test dans le projet spécifié avec les données que vous spécifiez pour le test. Cette autorisation inclut la possibilité de mettre à jour, de réexécuter ou de supprimer des tests.
`networkmanagement.connectivitytests.update`	Met à jour un ou plusieurs champs dans un test existant.
`networkmanagement.connectivitytests.delete`	Supprime le test spécifié.
`networkmanagement.connectivitytests.rerun`	Réexécute un processus de vérification de l'accessibilité unique pour un test spécifié.

Si vous ne disposez pas des autorisations nécessaires pour créer ou mettre à jour un test, les boutons correspondants sont inactifs. Ces commandes incluent le bouton Créer un test de connectivité et, sur la page Informations sur le test de connectivité, le bouton Modifier. Dans chaque cas, lorsque vous maintenez le pointeur sur le bouton inactif, les tests de connectivité affichent un message décrivant l'autorisation dont vous avez besoin.

Autorisations pour exécuter un test

Vous devez disposer des rôles et autorisations suivants pour exécuter un test :

Autorisation networkmanagement.connectivitytests.create (ou networkmanagement.connectivitytests.rerun) dans un projet avec une ressource Tests de connectivité.
Rôle de lecteur de réseau Compute (roles/compute.networkViewer) ou l'ancienne version Rôle Lecteur (roles/viewer) à tous les projets inclus dans le chemin de trace.

Notez les points supplémentaires suivants concernant les différents types d'options de connectivité.

Appairage de réseaux VPC, Network Connectivity Center ou connectivité Cloud VPN

Si le chemin de trace inclut l'appairage de réseaux VPC, Network Connectivity Center la connectivité de Cloud VPN à un réseau d'un autre projet, un chemin de paquet dans ce réseau n'est simulé que si vous avez des autorisations à ce projet. Sinon, un résultat de test incomplet est renvoyé (par exemple, une trace se terminant par l'état final Forward (Transmettre)).

Projets VPC partagés

Si un point de terminaison source ou de destination (tel qu'une instance de machine virtuelle) utilise un VPC partagé, vous devez disposer de l'autorisation d'accéder aux projets hôte et de service.

Si vous êtes autorisé à accéder aux projets hôte et de service, les informations de suivi incluent des détails sur toutes les ressources pertinentes.
Si vous n'êtes pas autorisé à accéder à l'un des projets, les informations sur les ressources définies dans ce projet sont masquées dans la trace. Une erreur d'autorisation s'affiche.

Examples

Vous avez accès au projet d'instance de VM (projet de service), mais pas à son projet de réseau (projet hôte). Si vous exécutez un test avec cette VM comme source (spécifiée par le nom), toutes les étapes associées à l'instance du projet hôte (par exemple, en appliquant des pare-feu ou des routes) sont masquées.
Vous avez accès au projet de réseau (projet hôte), mais pas au projet de VM (projet de service). Si vous exécutez un test avec cette instance de VM comme source (spécifiée par son adresse IP), toutes les étapes associées au projet de service (par exemple, une étape avec les détails de l'instance de VM) sont masquées.

Services Private Service Connect publiés

Si le paquet est envoyé au service publié Private Service Connect (via un point de terminaison Private Service Connect ou un backend Private Service Connect), la partie de la trace dans le projet du producteur ne s'affiche que si vous y avez accès. Sinon, la trace se termine par État final général, tel que Le paquet a été livré au projet producteur PSC ou Packet déposé dans le projet producteur PSC

Services gérés par Google

Si le paquet va vers ou depuis le réseau géré par Google associé à un service géré par Google (comme Cloud SQL), les étapes du projet géré par Google ne s'affichent pas. Une étape générale de départ ou une étape finale est affiché.

Adresses IP publiques des ressources Google Cloud

Si vous spécifiez une adresse IP publique attribuée à une ressource dans l'un de vos comme source ou destination de test, mais ne dispose pas des autorisations projet dans lequel la ressource associée à cette adresse est définie, cette adresse IP est est considérée comme une adresse IP Internet. Les détails de l'abonnement sous-jacent ou le chemin d'accès à la ressource ou au paquet une fois qu'elle est atteinte.

Autorisations d'affichage des résultats des tests

Pour afficher les résultats du test, tenez compte des points suivants :

Pour afficher les résultats des tests créés ou modifiés après octobre 2024, vous n'avez que ont besoin de l'autorisation pour afficher la ressource de test (networkmanagement.connectivitytests.get); vous n'avez pas besoin autorisations sur les ressources et projets inclus dans le chemin de trace.
Pour afficher les résultats des tests exécutés avant octobre 2024, vous devez disposer du rôle Lecteur de réseau Compute ; ou l'ancien rôle Lecteur (roles/viewer) pour tous les projets inclus dans le chemin de trace.

Stratégies de pare-feu hiérarchiques

Votre trace peut inclure une stratégie de pare-feu hiérarchique que vous n'êtes pas autorisé à consulter. Toutefois, même si vous ne disposez pas des autorisations nécessaires pour afficher les détails de la stratégie, vous pouvez toujours voir les stratégies qui s'appliquent à votre réseau VPC. Pour en savoir plus, consultez rôles IAM dans le "Stratégies de pare-feu hiérarchiques" .