Peran dan izin

Halaman ini menjelaskan peran dan izin Identity and Access Management (IAM) yang diperlukan untuk menjalankan Pengujian Konektivitas.

Anda dapat memberikan izin atau peran standar kepada pengguna atau akun layanan, atau Anda dapat membuat peran khusus yang menggunakan izin yang Anda tentukan.

Izin IAM menggunakan awalan networkmanagement.

Untuk mendapatkan atau menetapkan kebijakan IAM, atau menguji izin IAM dengan Network Management API, lihat Mengelola kebijakan akses.

Peran

Bagian ini menjelaskan cara menggunakan peran bawaan dan kustom saat memberikan izin untuk Pengujian Konektivitas.

Untuk penjelasan setiap izin, lihat tabel izin.

Untuk mengetahui informasi selengkapnya tentang peran project dan resource Google Cloud, lihat dokumentasi berikut:

Peran yang telah ditetapkan

Uji Konektivitas memiliki peran bawaan berikut:

  • networkmanagement.admin memiliki izin untuk melakukan semua operasi pada resource pengujian.
  • networkmanagement.viewer memiliki izin untuk mencantumkan atau mendapatkan resource pengujian tertentu.

Tabel berikut mencantumkan peran bawaan dan izin yang berlaku untuk setiap peran.

Role Permissions

(roles/networkmanagement.admin)

Full access to Network Management resources.

Lowest-level resources where you can grant this role:

  • Project

networkmanagement.*

  • networkmanagement.connectivitytests.create
  • networkmanagement.connectivitytests.delete
  • networkmanagement.connectivitytests.get
  • networkmanagement.connectivitytests.getIamPolicy
  • networkmanagement.connectivitytests.list
  • networkmanagement.connectivitytests.rerun
  • networkmanagement.connectivitytests.setIamPolicy
  • networkmanagement.connectivitytests.update
  • networkmanagement.locations.get
  • networkmanagement.locations.list
  • networkmanagement.operations.cancel
  • networkmanagement.operations.delete
  • networkmanagement.operations.get
  • networkmanagement.operations.list
  • networkmanagement.vpcflowlogsconfigs.create
  • networkmanagement.vpcflowlogsconfigs.delete
  • networkmanagement.vpcflowlogsconfigs.get
  • networkmanagement.vpcflowlogsconfigs.list
  • networkmanagement.vpcflowlogsconfigs.update

resourcemanager.organizations.get

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkmanagement.viewer)

Read-only access to Network Management resources.

Lowest-level resources where you can grant this role:

  • Project

networkmanagement.connectivitytests.get

networkmanagement.connectivitytests.getIamPolicy

networkmanagement.connectivitytests.list

networkmanagement.locations.*

  • networkmanagement.locations.get
  • networkmanagement.locations.list

networkmanagement.operations.get

networkmanagement.operations.list

networkmanagement.vpcflowlogsconfigs.get

networkmanagement.vpcflowlogsconfigs.list

resourcemanager.organizations.get

resourcemanager.projects.get

resourcemanager.projects.list

Peran khusus

Anda dapat membuat peran khusus dengan memilih daftar izin dari tabel izin untuk Pengujian Konektivitas.

Misalnya, Anda dapat membuat peran bernama reachabilityUsers, dan memberikan izin list, get, dan rerun ke peran ini. Pengguna dengan peran ini dapat menjalankan ulang Uji Konektivitas yang ada dan melihat hasil pengujian yang diperbarui berdasarkan konfigurasi jaringan terbaru.

Peran project

Anda dapat menggunakan peran project untuk menetapkan izin ke resource Google Cloud. Karena Uji Konektivitas harus memiliki akses baca ke konfigurasi resource Google Cloud di jaringan Virtual Private Cloud (VPC) untuk menjalankan pengujian, Anda harus memberikan setidaknya peran Penampil Jaringan Compute (roles/compute.networkViewer) kepada pengguna atau akun layanan yang menjalankan pengujian terhadap resource tersebut. Anda juga dapat membuat peran kustom atau memberikan otorisasi sementara izin yang terkait dengan peran sebelumnya untuk pengguna tertentu.

Atau, Anda dapat memberikan salah satu peran bawaan berikut kepada pengguna atau akun layanan untuk project Google Cloud:

Izin

Bagian ini menjelaskan izin untuk Uji Konektivitas dan cara menggunakannya saat menguji berbagai jenis konfigurasi jaringan.

Izin Uji Konektivitas

Uji Konektivitas memiliki izin IAM berikut.

Izin Deskripsi
networkmanagement.connectivitytests.list Mencantumkan semua pengujian yang dikonfigurasi dalam project yang ditentukan.
networkmanagement.connectivitytests.get Mendapatkan detail pengujian tertentu.
networkmanagement.connectivitytests.create Membuat objek pengujian baru di project yang ditentukan dengan data yang Anda tentukan untuk pengujian. Izin ini mencakup izin untuk memperbarui, menjalankan ulang, atau menghapus pengujian.
networkmanagement.connectivitytests.update Memperbarui satu atau beberapa kolom dalam pengujian yang ada.
networkmanagement.connectivitytests.delete Menghapus pengujian yang ditentukan.
networkmanagement.connectivitytests.rerun Menjalankan kembali verifikasi keterjangkauan satu kali untuk pengujian yang ditentukan.

Jika Anda tidak memiliki izin untuk membuat atau memperbarui pengujian, tombol yang sesuai akan tidak aktif. Tombol ini mencakup tombol Buat uji konektivitas dan, di halaman Detail uji konektivitas, tombol Edit. Dalam setiap kasus, saat Anda menahan kursor di atas tombol yang tidak aktif, Pengujian Konektivitas akan menampilkan pesan yang menjelaskan izin yang Anda perlukan.

Izin untuk menjalankan pengujian

Anda memerlukan peran dan izin berikut untuk menjalankan pengujian:

  • Izin networkmanagement.connectivitytests.create (atau networkmanagement.connectivitytests.rerun) di project dengan resource Uji Konektivitas.
  • Peran Compute Network Viewer (roles/compute.networkViewer) atau peran Viewer (roles/viewer) lama ke semua project yang disertakan dalam jalur rekaman aktivitas.

Perhatikan pertimbangan tambahan berikut dengan berbagai jenis opsi konektivitas.

Konektivitas Peering Jaringan VPC, Network Connectivity Center, atau Cloud VPN

Jika jalur rekaman aktivitas menyertakan Peering Jaringan VPC, Network Connectivity Center, atau konektivitas Cloud VPN ke jaringan di project yang berbeda, jalur paket di jaringan tersebut hanya disimulasikan jika Anda memiliki izin ke project tersebut. Jika tidak, hasil pengujian yang tidak lengkap akan ditampilkan (misalnya, rekaman aktivitas yang berakhir dengan status akhir Forward).

Project VPC Bersama

Jika endpoint sumber atau tujuan (seperti instance virtual machine (VM)) menggunakan VPC Bersama, Anda harus memiliki izin untuk mengakses project host dan layanan.

  • Jika Anda memiliki izin untuk mengakses project host dan layanan, informasi trace akan menyertakan detail tentang semua resource yang relevan.
  • Jika Anda tidak memiliki izin untuk mengakses salah satu project, informasi tentang resource yang ditentukan dalam project ini akan disembunyikan dalam rekaman aktivitas. Error izin akan ditampilkan.
Contoh
  • Anda memiliki akses ke project instance VM (project layanan), tetapi tidak memiliki akses ke project jaringannya (project host). Jika Anda menjalankan pengujian dengan instance VM ini sebagai sumber (ditentukan oleh namanya), setiap langkah yang terkait dengan project host (misalnya, menerapkan firewall atau rute) akan disembunyikan.

  • Anda memiliki akses ke project jaringan (project host), tetapi tidak memiliki akses ke project VM (project layanan). Jika Anda menjalankan pengujian dengan instance VM ini sebagai sumber (ditentukan oleh alamat IP-nya), setiap langkah yang terkait dengan project layanan—misalnya, langkah dengan detail instance VM—akan disembunyikan.

Layanan yang dipublikasikan Private Service Connect

Jika paket masuk ke layanan yang dipublikasikan Private Service Connect (melalui endpoint Private Service Connect atau backend Private Service Connect), bagian rekaman aktivitas dalam project produsen hanya ditampilkan jika Anda memiliki akses ke layanan tersebut. Jika tidak, rekaman aktivitas akan berakhir dengan status akhir umum seperti Paket dikirim ke project produsen PSC atau Paket dihapus di dalam project produsen PSC.

Layanan yang dikelola Google

Jika paket dikirim ke atau dari jaringan yang dikelola Google yang terkait dengan layanan yang dikelola Google (seperti Cloud SQL), langkah-langkah di dalam project yang dikelola Google tidak akan ditampilkan. Langkah awal umum atau langkah akhir akan ditampilkan.

Alamat IP publik resource Google Cloud

Jika Anda menentukan alamat IP publik yang ditetapkan ke resource di salah satu project sebagai sumber atau tujuan pengujian, tetapi tidak memiliki izin ke project tempat resource dengan alamat ini ditentukan, alamat IP ini dianggap sebagai alamat IP internet. Detail apa pun tentang resource atau jalur paket yang mendasarinya setelah resource ini dijangkau tidak akan ditampilkan.

Izin untuk melihat hasil pengujian

Untuk melihat hasil pengujian, perhatikan hal berikut:

  • Untuk melihat hasil pengujian yang dibuat atau diperbarui setelah Oktober 2024, Anda hanya memerlukan izin untuk melihat resource pengujian (networkmanagement.connectivitytests.get); Anda tidak memerlukan izin ke resource dan project yang disertakan dalam jalur rekaman aktivitas.
  • Untuk melihat hasil pengujian yang dijalankan sebelum Oktober 2024, Anda harus memiliki peran Viewer Jaringan Compute atau peran Viewer lama (roles/viewer) untuk semua project yang disertakan dalam jalur rekaman aktivitas.

Kebijakan firewall hierarkis

Rekaman aktivitas Anda mungkin menyertakan kebijakan firewall hierarkis yang tidak Anda izinkan untuk dilihat. Namun, meskipun tidak memiliki izin untuk melihat detail kebijakan, Anda tetap dapat melihat aturan kebijakan yang berlaku untuk jaringan VPC Anda. Untuk mengetahui detailnya, lihat Peran IAM di ringkasan "Kebijakan firewall hierarkis".

Langkah selanjutnya