Questa pagina è stata tradotta dall'API Cloud Translation.

Ruoli e autorizzazioni

In questa pagina vengono descritti i ruoli e le autorizzazioni di Identity and Access Management (IAM) necessari per l'esecuzione di Connectivity Tests.

Puoi concedere agli utenti o agli account di servizio autorizzazioni o ruoli predefiniti oppure puoi creare un ruolo personalizzato che utilizzi le autorizzazioni specificate.

Le autorizzazioni IAM utilizzano un prefisso networkmanagement.

Per ottenere o impostare criteri IAM o per testare IAM autorizzazioni con l'API Network Management, consulta Gestisci i criteri di accesso.

Ruoli

Questa sezione descrive come utilizzare i ruoli predefiniti e personalizzati quando concedere le autorizzazioni per Connectivity Tests.

Per una spiegazione di ciascuna autorizzazione, consulta la tabella delle autorizzazioni.

Per saperne di più sui ruoli di progetto e sulle risorse Google Cloud, consulta la seguente documentazione:

Ruoli predefiniti

Connectivity Tests dispone dei seguenti ruoli predefiniti:

networkmanagement.admin dispone dell'autorizzazione per eseguire tutte le operazioni su una risorsa di test.
networkmanagement.viewer ha l'autorizzazione per elencare o ricevere un di una risorsa di test specifica.

La tabella seguente elenca i ruoli predefiniti e le autorizzazioni applicabili a ciascun ruolo.

Role Permissions

Role	Permissions
Network Management Admin (`roles/networkmanagement.admin`) Full access to Network Management resources. Lowest-level resources where you can grant this role: Project	`networkmanagement.*` `networkmanagement.connectivitytests.create` `networkmanagement.connectivitytests.delete` `networkmanagement.connectivitytests.get` `networkmanagement.connectivitytests.getIamPolicy` `networkmanagement.connectivitytests.list` `networkmanagement.connectivitytests.rerun` `networkmanagement.connectivitytests.setIamPolicy` `networkmanagement.connectivitytests.update` `networkmanagement.locations.get` `networkmanagement.locations.list` `networkmanagement.operations.cancel` `networkmanagement.operations.delete` `networkmanagement.operations.get` `networkmanagement.operations.list` `networkmanagement.vpcflowlogsconfigs.create` `networkmanagement.vpcflowlogsconfigs.delete` `networkmanagement.vpcflowlogsconfigs.get` `networkmanagement.vpcflowlogsconfigs.list` `networkmanagement.vpcflowlogsconfigs.update` `resourcemanager.organizations.get` `resourcemanager.projects.get` `resourcemanager.projects.list`
Network Management Viewer (`roles/networkmanagement.viewer`) Read-only access to Network Management resources. Lowest-level resources where you can grant this role: Project	`networkmanagement.connectivitytests.get` `networkmanagement.connectivitytests.getIamPolicy` `networkmanagement.connectivitytests.list` `networkmanagement.locations.*` `networkmanagement.locations.get` `networkmanagement.locations.list` `networkmanagement.operations.get` `networkmanagement.operations.list` `networkmanagement.vpcflowlogsconfigs.get` `networkmanagement.vpcflowlogsconfigs.list` `resourcemanager.organizations.get` `resourcemanager.projects.get` `resourcemanager.projects.list`

Network Management Admin

(roles/networkmanagement.admin)

Full access to Network Management resources.

Lowest-level resources where you can grant this role:

Project

networkmanagement.*

networkmanagement.connectivitytests.create
networkmanagement.connectivitytests.delete
networkmanagement.connectivitytests.get
networkmanagement.connectivitytests.getIamPolicy
networkmanagement.connectivitytests.list
networkmanagement.connectivitytests.rerun
networkmanagement.connectivitytests.setIamPolicy
networkmanagement.connectivitytests.update
networkmanagement.locations.get
networkmanagement.locations.list
networkmanagement.operations.cancel
networkmanagement.operations.delete
networkmanagement.operations.get
networkmanagement.operations.list
networkmanagement.vpcflowlogsconfigs.create
networkmanagement.vpcflowlogsconfigs.delete
networkmanagement.vpcflowlogsconfigs.get
networkmanagement.vpcflowlogsconfigs.list
networkmanagement.vpcflowlogsconfigs.update

resourcemanager.organizations.get

resourcemanager.projects.get

resourcemanager.projects.list

Network Management Viewer

(roles/networkmanagement.viewer)

Read-only access to Network Management resources.

Lowest-level resources where you can grant this role:

Project

networkmanagement.connectivitytests.get

networkmanagement.connectivitytests.getIamPolicy

networkmanagement.connectivitytests.list

networkmanagement.locations.*

networkmanagement.locations.get
networkmanagement.locations.list

networkmanagement.operations.get

networkmanagement.operations.list

networkmanagement.vpcflowlogsconfigs.get

networkmanagement.vpcflowlogsconfigs.list

resourcemanager.organizations.get

resourcemanager.projects.get

resourcemanager.projects.list

Ruoli personalizzati

Puoi creare ruoli personalizzati selezionando un elenco di autorizzazioni dal tabella delle autorizzazioni per Connectivity Tests.

Ad esempio, puoi creare un ruolo denominato reachabilityUsers e assegnare le autorizzazioni list, get e rerun a questo ruolo. Un utente con questo ruolo può eseguire nuovamente Connectivity Tests e visualizzare i risultati dei test aggiornati in base alla configurazione di rete più recente.

Ruoli del progetto

Puoi utilizzare i ruoli di progetto per impostare le autorizzazioni per le risorse Google Cloud. Poiché i Connectivity Tests devono avere accesso in lettura Configurazioni delle risorse Google Cloud nel tuo Virtual Private Cloud (VPC) rete per eseguire un test, devi concedere almeno il Ruolo Visualizzatore di rete Compute (roles/compute.networkViewer) agli utenti o agli account di servizio che eseguono un test per accedere a queste risorse. Puoi anche creare un ruolo personalizzato o autorizzare temporaneamente le autorizzazioni associate al ruolo precedente per un utente specifico.

In alternativa, puoi concedere a un account utente o di servizio uno dei seguenti requisiti ruoli predefiniti per i progetti Google Cloud:

project.viewer possiede tutte le autorizzazioni di un ruolo networkmanagement.viewer.
project.editor o project.owner ha tutte le autorizzazioni del ruolo networkmanagement.admin.

Autorizzazioni

Questa sezione descrive le autorizzazioni per Connectivity Tests e le modalità per utilizzarle durante i test di diversi tipi di configurazioni di rete.

Autorizzazioni per Connectivity Tests

Connectivity Tests dispone delle seguenti autorizzazioni IAM.

Autorizzazione	Descrizione
`networkmanagement.connectivitytests.list`	Elenca tutti i test configurati nel progetto specificato.
`networkmanagement.connectivitytests.get`	Recupera i dettagli di un test specifico.
`networkmanagement.connectivitytests.create`	Crea un nuovo oggetto di test nel progetto specificato con i dati che specifichi per il test. Questa autorizzazione include l'autorizzazione per aggiornare, eseguire nuovamente o eliminare i test.
`networkmanagement.connectivitytests.update`	Aggiorna uno o più campi in un test esistente.
`networkmanagement.connectivitytests.delete`	Consente di eliminare il test specificato.
`networkmanagement.connectivitytests.rerun`	Esegue di nuovo una verifica di raggiungibilità una tantum per un test specificato.

Se non disponi dell'autorizzazione per creare o aggiornare un test, i pulsanti corrispondenti non sono attivi. Questi includono il campo Crea connettività test e, sulla scheda Test di connettività dettagli, fai clic sul pulsante Modifica. In ogni caso, quando tieni premuto il puntatore sopra il pulsante non attivo, Connectivity Tests mostra un messaggio che descrive l'autorizzazione di cui hai bisogno.

Autorizzazioni per l'esecuzione di un test

Per eseguire un test, devi disporre dei seguenti ruoli e autorizzazioni:

Autorizzazione networkmanagement.connectivitytests.create (o networkmanagement.connectivitytests.rerun) in un progetto con una risorsa Connectivity Tests.
Ruolo Visualizzatore di rete Compute (roles/compute.networkViewer) o la versione precedente Ruolo Visualizzatore (roles/viewer) a tutti i progetti inclusi nel percorso di traccia.

Tieni presente le seguenti considerazioni aggiuntive relative ai diversi tipi di opzioni di connettività.

Peering di rete VPC, Network Connectivity Center o connettività Cloud VPN

Se il percorso di traccia include il peering di rete VPC, Network Connectivity Center o la connettività Cloud VPN a una rete di un progetto diverso. un percorso del pacchetto in quella rete viene simulato solo se si dispone di: autorizzazioni al progetto. In caso contrario, viene restituito un risultato incompleto del test (ad esempio, una traccia che termina con stato finale Inoltra).

Progetti VPC condiviso

Se un endpoint di origine o di destinazione (ad esempio un'istanza di una macchina virtuale (VM)) utilizza VPC condiviso, devi disporre dell'autorizzazione per accedere sia all'host che al servizio in modo programmatico a gestire i progetti.

Se disponi dell'autorizzazione per accedere sia al progetto host che a quello di servizio, include dettagli su tutte le risorse pertinenti.
Se non hai l'autorizzazione per accedere a uno dei progetti, le informazioni su risorse definite in questo progetto sono nascoste nella traccia. Viene visualizzato un errore di autorizzazione.

Esempi

Hai accesso al progetto dell'istanza VM (progetto di servizio), ma non hai accesso al progetto di rete (progetto host). Se esegui un test con questa VM come origine (specificata dal nome), eventuali passaggi associati progetto host (ad esempio l'applicazione di firewall o route) sono nascosti.
Hai accesso al progetto di rete (progetto host), ma non puoi accedere al progetto VM (progetto di servizio). Se esegui un test con questa istanza VM come origine (specificata dal relativo indirizzo IP), eventuali passaggi associati progetto di servizio, ad esempio un passaggio con i dettagli dell'istanza VM, sono nascosti.

Servizi pubblicati di Private Service Connect

Se il pacchetto va al servizio pubblicato di Private Service Connect (tramite un endpoint Private Service Connect backend Private Service Connect), la parte della traccia nel producer il progetto viene visualizzato solo se puoi accedervi. In caso contrario, la traccia termina con stato finale generale, ad esempio Pacchetto consegnato al progetto producer PSC oppure Pacchetto inserito all'interno del progetto producer PSC.

Servizi gestiti da Google

Se il pacchetto va verso o dalla rete gestita da Google associata a un servizio gestito da Google (come Cloud SQL), i passaggi all'interno del progetto gestito da Google non vengono mostrati. Un passaggio iniziale generale o un passaggio finale visualizzati.

Indirizzi IP pubblici delle risorse Google Cloud

Se specifichi un indirizzo IP pubblico assegnato a una risorsa in uno dei tuoi progetti come origine o destinazione di test, ma non disponi delle autorizzazioni per il progetto in cui è definita la risorsa con questo indirizzo, questo indirizzo IP è considerato un indirizzo IP internet. Qualsiasi dettaglio sulla base e il percorso della risorsa o del pacchetto quando viene raggiunta questa risorsa.

Autorizzazioni per visualizzare i risultati del test

Per visualizzare i risultati del test, tieni presente quanto segue:

Per visualizzare i risultati dei test creati o aggiornati dopo ottobre 2024, devi è necessaria l'autorizzazione per visualizzare la risorsa di test (networkmanagement.connectivitytests.get); non ti serve autorizzazioni alle risorse e ai progetti inclusi nel percorso di traccia.
Per visualizzare i risultati dei test eseguiti prima di ottobre 2024, devi disporre del ruolo Visualizzatore rete Compute o del precedente ruolo Visualizzatore (roles/viewer) per tutti i progetti inclusi nel percorso traccia.

Criteri firewall gerarchici

La traccia potrebbe includere un criterio firewall gerarchico che non hai specificato l'autorizzazione alla visualizzazione. Tuttavia, anche se non hai l'autorizzazione per visualizzare i dettagli delle norme, puoi comunque visualizzare le regole che si applicano ai tuoi rete VPC. Per maggiori dettagli, vedi Ruoli IAM nel "Criteri firewall gerarchici" panoramica.