Halaman ini menjelaskan peran dan izin Identity and Access Management (IAM) yang diperlukan untuk menjalankan Pengujian Konektivitas.
Anda dapat memberikan izin atau peran standar kepada pengguna atau akun layanan, atau Anda dapat membuat peran khusus yang menggunakan izin yang Anda tentukan.
Izin IAM menggunakan awalan networkmanagement
.
Untuk mendapatkan atau menetapkan kebijakan IAM, atau menguji izin IAM dengan Network Management API, lihat Mengelola kebijakan akses.
Peran
Bagian ini menjelaskan cara menggunakan peran bawaan dan kustom saat memberikan izin untuk Pengujian Konektivitas.
Untuk penjelasan setiap izin, lihat tabel izin.
Untuk mengetahui informasi selengkapnya tentang peran project dan resource Google Cloud, lihat dokumentasi berikut:
- Dokumentasi Resource Manager
- Dokumentasi Identity and Access Management
- Dokumentasi Compute Engine yang menjelaskan kontrol akses
Peran yang telah ditetapkan
Uji Konektivitas memiliki peran bawaan berikut:
networkmanagement.admin
memiliki izin untuk melakukan semua operasi pada resource pengujian.networkmanagement.viewer
memiliki izin untuk mencantumkan atau mendapatkan resource pengujian tertentu.
Tabel berikut mencantumkan peran bawaan dan izin yang berlaku untuk setiap peran.
Role | Permissions |
---|---|
Network Management Admin( Full access to Network Management resources. Lowest-level resources where you can grant this role:
|
|
Network Management Viewer( Read-only access to Network Management resources. Lowest-level resources where you can grant this role:
|
|
Peran khusus
Anda dapat membuat peran khusus dengan memilih daftar izin dari tabel izin untuk Pengujian Konektivitas.
Misalnya, Anda dapat membuat peran bernama reachabilityUsers
, dan
memberikan izin list
, get
, dan rerun
ke peran ini. Pengguna dengan peran ini dapat menjalankan ulang Uji Konektivitas yang ada dan melihat hasil pengujian yang diperbarui berdasarkan konfigurasi jaringan terbaru.
Peran project
Anda dapat menggunakan peran project untuk menetapkan izin ke resource Google Cloud.
Karena Uji Konektivitas harus memiliki akses baca ke
konfigurasi resource Google Cloud di jaringan Virtual Private Cloud (VPC)
untuk menjalankan pengujian, Anda harus memberikan setidaknya
peran Penampil Jaringan Compute
(roles/compute.networkViewer
) kepada pengguna atau akun layanan yang menjalankan pengujian terhadap
resource tersebut. Anda juga dapat membuat peran kustom atau memberikan otorisasi sementara
izin yang terkait dengan peran sebelumnya untuk pengguna tertentu.
Atau, Anda dapat memberikan salah satu peran bawaan berikut kepada pengguna atau akun layanan untuk project Google Cloud:
project.viewer
memiliki semua izin perannetworkmanagement.viewer
.project.editor
atauproject.owner
memiliki semua izin perannetworkmanagement.admin
.
Izin
Bagian ini menjelaskan izin untuk Uji Konektivitas dan cara menggunakannya saat menguji berbagai jenis konfigurasi jaringan.
Izin Uji Konektivitas
Uji Konektivitas memiliki izin IAM berikut.
Izin | Deskripsi |
---|---|
networkmanagement.connectivitytests.list |
Mencantumkan semua pengujian yang dikonfigurasi dalam project yang ditentukan. |
networkmanagement.connectivitytests.get |
Mendapatkan detail pengujian tertentu. |
networkmanagement.connectivitytests.create |
Membuat objek pengujian baru di project yang ditentukan dengan data yang Anda tentukan untuk pengujian. Izin ini mencakup izin untuk memperbarui, menjalankan ulang, atau menghapus pengujian. |
networkmanagement.connectivitytests.update |
Memperbarui satu atau beberapa kolom dalam pengujian yang ada. |
networkmanagement.connectivitytests.delete |
Menghapus pengujian yang ditentukan. |
networkmanagement.connectivitytests.rerun |
Menjalankan kembali verifikasi keterjangkauan satu kali untuk pengujian yang ditentukan. |
Jika Anda tidak memiliki izin untuk membuat atau memperbarui pengujian, tombol yang sesuai akan tidak aktif. Tombol ini mencakup tombol Buat uji konektivitas dan, di halaman Detail uji konektivitas, tombol Edit. Dalam setiap kasus, saat Anda menahan kursor di atas tombol yang tidak aktif, Pengujian Konektivitas akan menampilkan pesan yang menjelaskan izin yang Anda perlukan.
Izin untuk menjalankan pengujian
Anda memerlukan peran dan izin berikut untuk menjalankan pengujian:
- Izin
networkmanagement.connectivitytests.create
(ataunetworkmanagement.connectivitytests.rerun
) di project dengan resource Uji Konektivitas. - Peran Compute Network Viewer
(
roles/compute.networkViewer
) atau peran Viewer (roles/viewer
) lama ke semua project yang disertakan dalam jalur rekaman aktivitas.
Perhatikan pertimbangan tambahan berikut dengan berbagai jenis opsi konektivitas.
Konektivitas Peering Jaringan VPC, Network Connectivity Center, atau Cloud VPN
Jika jalur rekaman aktivitas menyertakan Peering Jaringan VPC, Network Connectivity Center, atau konektivitas Cloud VPN ke jaringan di project yang berbeda, jalur paket di jaringan tersebut hanya disimulasikan jika Anda memiliki izin ke project tersebut. Jika tidak, hasil pengujian yang tidak lengkap akan ditampilkan (misalnya, rekaman aktivitas yang berakhir dengan status akhir Forward).
Project VPC Bersama
Jika endpoint sumber atau tujuan (seperti instance virtual machine (VM)) menggunakan VPC Bersama, Anda harus memiliki izin untuk mengakses project host dan layanan.
- Jika Anda memiliki izin untuk mengakses project host dan layanan, informasi trace akan menyertakan detail tentang semua resource yang relevan.
- Jika Anda tidak memiliki izin untuk mengakses salah satu project, informasi tentang resource yang ditentukan dalam project ini akan disembunyikan dalam rekaman aktivitas. Error izin akan ditampilkan.
Contoh
Anda memiliki akses ke project instance VM (project layanan), tetapi tidak memiliki akses ke project jaringannya (project host). Jika Anda menjalankan pengujian dengan instance VM ini sebagai sumber (ditentukan oleh namanya), setiap langkah yang terkait dengan project host (misalnya, menerapkan firewall atau rute) akan disembunyikan.
Anda memiliki akses ke project jaringan (project host), tetapi tidak memiliki akses ke project VM (project layanan). Jika Anda menjalankan pengujian dengan instance VM ini sebagai sumber (ditentukan oleh alamat IP-nya), setiap langkah yang terkait dengan project layanan—misalnya, langkah dengan detail instance VM—akan disembunyikan.
Layanan yang dipublikasikan Private Service Connect
Jika paket masuk ke layanan yang dipublikasikan Private Service Connect (melalui endpoint Private Service Connect atau backend Private Service Connect), bagian rekaman aktivitas dalam project produsen hanya ditampilkan jika Anda memiliki akses ke layanan tersebut. Jika tidak, rekaman aktivitas akan berakhir dengan status akhir umum seperti Paket dikirim ke project produsen PSC atau Paket dihapus di dalam project produsen PSC.
Layanan yang dikelola Google
Jika paket dikirim ke atau dari jaringan yang dikelola Google yang terkait dengan layanan yang dikelola Google (seperti Cloud SQL), langkah-langkah di dalam project yang dikelola Google tidak akan ditampilkan. Langkah awal umum atau langkah akhir akan ditampilkan.
Alamat IP publik resource Google Cloud
Jika Anda menentukan alamat IP publik yang ditetapkan ke resource di salah satu project sebagai sumber atau tujuan pengujian, tetapi tidak memiliki izin ke project tempat resource dengan alamat ini ditentukan, alamat IP ini dianggap sebagai alamat IP internet. Detail apa pun tentang resource atau jalur paket yang mendasarinya setelah resource ini dijangkau tidak akan ditampilkan.
Izin untuk melihat hasil pengujian
Untuk melihat hasil pengujian, perhatikan hal berikut:
- Untuk melihat hasil pengujian yang dibuat atau diperbarui setelah Oktober 2024, Anda hanya
memerlukan izin untuk melihat resource pengujian
(
networkmanagement.connectivitytests.get
); Anda tidak memerlukan izin ke resource dan project yang disertakan dalam jalur rekaman aktivitas. - Untuk melihat hasil pengujian yang dijalankan sebelum Oktober 2024,
Anda harus memiliki peran Viewer Jaringan Compute
atau peran Viewer lama (
roles/viewer
) untuk semua project yang disertakan dalam jalur rekaman aktivitas.
Kebijakan firewall hierarkis
Rekaman aktivitas Anda mungkin menyertakan kebijakan firewall hierarkis yang tidak Anda izinkan untuk dilihat. Namun, meskipun tidak memiliki izin untuk melihat detail kebijakan, Anda tetap dapat melihat aturan kebijakan yang berlaku untuk jaringan VPC Anda. Untuk mengetahui detailnya, lihat Peran IAM di ringkasan "Kebijakan firewall hierarkis".
Langkah selanjutnya
- Mengelola kebijakan akses
- Pelajari Uji Konektivitas
- Membuat dan menjalankan Uji Konektivitas
- Memecahkan Masalah Uji Konektivitas