Zugriffskontrolle für Konnektivitätstests

Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) und Berechtigungen beschrieben, die zum Ausführen von Konnektivitätstests erforderlich sind.

Sie können Nutzern oder Dienstkonten Berechtigungen oder vordefinierte Rollen gewähren oder eine benutzerdefinierte Rolle mit den von Ihnen angegebenen Berechtigungen erstellen.

Die IAM-Berechtigungen verwenden das Präfix networkmanagement.

Informationen zum Abrufen oder Festlegen von IAM-Richtlinien oder zum Testen von IAM-Berechtigungen mit der Network Management API finden Sie unter Zugriffssteuerung verwalten.

Rollen

In diesem Abschnitt wird beschrieben, wie Sie vor- und benutzerdefinierte Rollen beim Gewähren von Berechtigungen für Konnektivitätstests verwenden.

Eine Erläuterung der einzelnen Berechtigungen finden Sie in der Berechtigungstabelle.

Weitere Informationen zu Projektrollen und Google Cloud-Ressourcen finden Sie in der folgenden Dokumentation:

Vordefinierte Rollen

Konnektivitätstests haben die folgenden vordefinierten Rollen:

  • networkmanagement.admin: hat die Berechtigung, alle Vorgänge für eine Testressource auszuführen
  • networkmanagement.viewer: hat die Berechtigung, eine bestimmte Testressource aufzulisten oder abzurufen

Die folgende Tabelle enthält die vordefinierten Rollen und die Berechtigungen, die für die einzelnen Rollen gelten.

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/networkmanagement.admin Administrator für die Netzwerkverwaltung Vollständiger Zugriff auf Ressourcen der Netzwerkverwaltung.
  • networkmanagement.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/networkmanagement.viewer Netzwerkverwaltung-Betrachter Lesezugriff auf Ressourcen der Netzwerkverwaltung.
  • networkmanagement.connectivitytests.get
  • networkmanagement.connectivitytests.getIamPolicy
  • networkmanagement.connectivitytests.list
  • networkmanagement.locations.*
  • networkmanagement.operations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Benutzerdefinierte Rollen

Sie können benutzerdefinierte Rollen erstellen, indem Sie eine Liste der Berechtigungen aus der Berechtigungstabelle für Konnektivitätstests auswählen.

Sie können beispielsweise eine Rolle mit dem Namen reachabilityUsers erstellen und dieser Rolle die Berechtigungen list, get und rerun zuweisen. Ein Nutzer mit dieser Rolle kann vorhandene Konnektivitätstests noch einmal ausführen und sich basierend auf der aktuellen Netzwerkkonfiguration aktualisierte Testergebnisse anzeigen lassen.

Berechtigungen für Google Cloud-Ressourcen mithilfe von Projektrollen festlegen

Da Konnektivitätstests zum Ausführen eines Tests Lesezugriff auf die Google Cloud-Ressourcenkonfigurationen in Ihrem VPC-Netzwerk benötigen, müssen Sie Nutzern oder Dienstkonten, die einen Test für diese Ressourcen ausführen, mindestens die Rolle compute.networkViewer zuweisen. Sie können auch eine benutzerdefinierte Rolle erstellen oder vorübergehend Berechtigungen autorisieren, die der vorherigen Rolle für einen bestimmten Nutzer zugeordnet sind.

Alternativ können Sie einem Nutzer oder Dienstkonto eine der folgenden vordefinierten Rollen für Google Cloud-Projekte zuweisen:

Berechtigungen

In diesem Abschnitt werden Berechtigungen für Konnektivitätstests und ihre Verwendung beim Testen verschiedener Typen von Netzwerkkonfigurationen erläutert.

Berechtigungen für Konnektivitätstests

Konnektivitätstests haben die folgenden IAM-Berechtigungen.

Berechtigung Beschreibung
networkmanagement.connectivitytests.list Listet alle Tests auf, die im angegebenen Projekt konfiguriert wurden
networkmanagement.connectivitytests.get Ruft die Details eines bestimmten Tests ab
networkmanagement.connectivitytests.create Erstellt ein neues Testobjekt im angegebenen Projekt mit den Daten, die Sie für den Test angeben. Diese Berechtigung beinhaltet die Berechtigung, Tests zu aktualisieren, noch einmal auszuführen oder zu löschen.
networkmanagement.connectivitytests.update Aktualisiert ein oder mehrere Felder in einem vorhandenen Test
networkmanagement.connectivitytests.delete Löscht den angegebenen Test
networkmanagement.connectivitytests.rerun Führt eine einmalige Überprüfung der Erreichbarkeit für einen bestimmten Test noch einmal aus

Berechtigungen zum Ausführen und Aufrufen von Tests

Wenn Sie nicht berechtigt sind, einen Test zu erstellen oder zu aktualisieren, wird die Meldung permission denied angezeigt.

Wenn Sie keine Berechtigung zum Abrufen der Compute Engine-Ressourcen im zu testenden Netzwerkpfad haben, können Sie das Gesamtergebnis des Tests trotzdem sehen. Die Details für die getesteten Ressourcen sind jedoch ausgeblendet. In den Testergebnissen wird für jede Ressource, für die Sie keine Berechtigungen haben, die Meldung permission denied angezeigt.

Auch wenn Sie den endgültigen Status Deliver für den Test erhalten, wird in den Testergebnissen permission denied angezeigt, falls Sie keine Berechtigungen für die getesteten Konfigurationen haben.

Sie können feststellen, für welches Projekt Sie Berechtigungen benötigen, damit Sie die Ressourcendetails aufrufen können. Sie können jedoch nicht sehen, welche Ressourcentypen ausgeblendet sind.

Berechtigungen für mehrere Projekte

Wenn die von Ihnen getestete Netzwerkkonfiguration VPC-Netzwerk-Peering oder eine freigegebene VPC verwendet, müssen Konnektivitätstests über ausreichende Berechtigungen verfügen, um auf Konfigurationen in den zahlreichen Projekten zuzugreifen, die diese Netzwerke verwenden.

Mit diesen Berechtigungen können Konnektivitätstests einen oder mehrere vollständige Traces des Paketpfads über verschiedene Netzwerke und Projekte ausführen. Andernfalls können Konnektivitätstests nur auf Konfigurationen innerhalb dieses Projekts zugreifen.

Berechtigungen für freigegebene VPC-Netzwerke

Wenn Sie einen Test von einem Dienstprojekt in einem freigegebenen VPC-Netzwerk ausführen, benötigen Sie die Berechtigung read für die Netzwerkkonfiguration im Hostprojekt. Das liegt daran, dass sich die Firewall- und Routenkonfigurationen für das Netzwerk im Hostprojekt befinden. Dies gilt auch dann, wenn die zu testenden Ressourcen vollständig in einem einzelnen Dienstprojekt vorhanden sind.

Wenn Sie einen Test von einem freigegebenen VPC-Hostprojekt zu VM-Instanzen in einem Dienstprojekt ausführen, müssen Sie über die Berechtigung zum Lesen der VM-Konfigurationen im Dienstprojekt verfügen.

Wenn Sie nur Berechtigungen für das Hostprojekt haben und die Dienstprojekt-ID nicht für den Konnektivitätstest angeben, wird im Testergebnis eine Gesamterreichbarkeit von Unreachable mit der Nachricht unknown IP address angezeigt.

Berechtigungen für VPC-Netzwerk-Peering, Cloud VPN und Cloud Interconnect

Konnektivitätstests benötigen die Berechtigung read, um einen Test für VPC-Netzwerk-Peering-Netzwerke in ihren Projekten durchzuführen.

Wenn Sie nur auf ein Netzwerk in einer VPC-Netzwerk-Peering-Verbindung zugreifen können, zeigen die Testergebnisse, dass das Paket an ein VPC-Netzwerk-Peering-Netzwerk gesendet wurde. Konnektivitätstests können jedoch keine weiteren Informationen für dieses Netzwerk bereitstellen.

Weitere Informationen