Zugriffskontrolle für Konnektivitätstests

Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) und Berechtigungen beschrieben, die zum Ausführen von Konnektivitätstests erforderlich sind.

Sie können Nutzern oder Dienstkonten Berechtigungen oder vordefinierte Rollen gewähren oder eine benutzerdefinierte Rolle mit den von Ihnen angegebenen Berechtigungen erstellen.

Die IAM-Berechtigungen verwenden das Präfix networkmanagement.

Informationen zum Abrufen oder Festlegen von IAM-Richtlinien oder zum Testen von IAM-Berechtigungen mit der Network Management API finden Sie unter Zugriffssteuerung verwalten.

Rollen

In diesem Abschnitt wird beschrieben, wie Sie vor- und benutzerdefinierte Rollen beim Gewähren von Berechtigungen für Konnektivitätstests verwenden.

Eine Erläuterung der einzelnen Berechtigungen finden Sie in der Berechtigungstabelle.

Weitere Informationen zu Projektrollen und Google Cloud-Ressourcen finden Sie in der folgenden Dokumentation:

Vordefinierte Rollen

Konnektivitätstests haben die folgenden vordefinierten Rollen:

  • networkmanagement.admin: hat die Berechtigung, alle Vorgänge für eine Testressource auszuführen
  • networkmanagement.viewer: hat die Berechtigung, eine bestimmte Testressource aufzulisten oder abzurufen

Die folgende Tabelle enthält die vordefinierten Rollen und die Berechtigungen, die für die einzelnen Rollen gelten.

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/networkmanagement.admin Administrator für die Netzwerkverwaltung Vollständiger Zugriff auf Ressourcen der Netzwerkverwaltung.
  • networkmanagement.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/networkmanagement.viewer Netzwerkverwaltung-Betrachter Lesezugriff auf Ressourcen der Netzwerkverwaltung.
  • networkmanagement.connectivitytests.get
  • networkmanagement.connectivitytests.getIamPolicy
  • networkmanagement.connectivitytests.list
  • networkmanagement.locations.*
  • networkmanagement.operations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Benutzerdefinierte Rollen

Sie können benutzerdefinierte Rollen erstellen, indem Sie eine Liste der Berechtigungen aus der Berechtigungstabelle für Konnektivitätstests auswählen.

Sie können beispielsweise eine Rolle mit dem Namen reachabilityUsers erstellen und dieser Rolle die Berechtigungen list, get und rerun zuweisen. Ein Nutzer mit dieser Rolle kann vorhandene Konnektivitätstests noch einmal ausführen und anhand der aktuellen Netzwerkkonfiguration aktualisierte Testergebnisse aufrufen.

Berechtigungen für Google Cloud-Ressourcen mithilfe von Projektrollen festlegen

Da Konnektivitätstests Lesezugriff auf die Google Cloud-Ressourcenkonfigurationen in Ihrem VPC-Netzwerk (Virtual Private Cloud) haben müssen, benötigen Nutzer oder Dienstkonten mindestens die Rolle des Compute-Netzwerkbetrachters (roles/compute.networkViewer), um einen Test für diese Ressourcen auszuführen. Sie können auch eine benutzerdefinierte Rolle erstellen oder vorübergehend Berechtigungen autorisieren, die der vorherigen Rolle für einen bestimmten Nutzer zugeordnet sind.

Alternativ können Sie einem Nutzer oder Dienstkonto eine der folgenden vordefinierten Rollen für Google Cloud-Projekte zuweisen:

Berechtigungen

In diesem Abschnitt werden Berechtigungen für Konnektivitätstests und ihre Verwendung beim Testen verschiedener Typen von Netzwerkkonfigurationen erläutert.

Berechtigungen für Konnektivitätstests

Konnektivitätstests haben die folgenden IAM-Berechtigungen.

Berechtigung Beschreibung
networkmanagement.connectivitytests.list Listet alle Tests auf, die im angegebenen Projekt konfiguriert wurden
networkmanagement.connectivitytests.get Ruft die Details eines bestimmten Tests ab
networkmanagement.connectivitytests.create Erstellt ein neues Testobjekt im angegebenen Projekt mit den Daten, die Sie für den Test angeben. Diese Berechtigung beinhaltet die Berechtigung, Tests zu aktualisieren, noch einmal auszuführen oder zu löschen.
networkmanagement.connectivitytests.update Aktualisiert ein oder mehrere Felder in einem vorhandenen Test
networkmanagement.connectivitytests.delete Löscht den angegebenen Test
networkmanagement.connectivitytests.rerun Führt eine einmalige Überprüfung der Erreichbarkeit für einen bestimmten Test noch einmal aus

Wenn Sie keine Berechtigung zum Erstellen oder Aktualisieren eines Tests haben, sind die entsprechenden Schaltflächen inaktiv. Dazu gehören die Schaltfläche Konnektivitätstest erstellen und auf der Seite Verbindungstestdetails die Schaltfläche Bearbeiten. Wenn Sie den Mauszeiger auf die inaktive Schaltfläche bewegen, wird in beiden Fällen eine Nachricht mit einer Beschreibung der erforderlichen Berechtigung angezeigt.

Berechtigungen zum Aufrufen von Testergebnissen

Wenn Sie keine Berechtigung zum Aufrufen der Compute Engine-Ressourcen im Netzwerkpfad haben, die getestet werden sollen, können Sie trotzdem das gesamte Testergebnis aufrufen. Details zu den getesteten Ressourcen sind jedoch ausgeblendet.

Projektressourcen

Wenn Sie keinen Zugriff auf eine in einem Trace aufgeführte Projektressource haben, wird mit dem Analyseergebnis in der Regel eine Nachricht folgender Art angezeigt: No permission to view the resource. Bei Konnektivitätstests werden der Ressourcentyp, der Ressourcenname und andere Details ausgeblendet. Der Trace zeigt aber das Projekt an, mit dem die Ressource verknüpft ist.

Hierarchische Firewallrichtlinien

Ihr Trace kann eine hierarchische Firewallrichtlinie enthalten, für die Sie keine Aufrufberechtigung haben. Es werden aber, auch wenn Sie nicht dazu berechtigt sind, die Richtliniendetails aufzurufen, nach wie vor die Richtlinienregeln für Ihr VPC-Netzwerk angezeigt. Weitere Informationen finden Sie unter Effektive Firewallregeln in der Übersicht der hierarchischen Firewallrichtlinien.

Berechtigungen für mehrere Projekte

Wenn die von Ihnen getestete Netzwerkkonfiguration VPC-Netzwerk-Peering oder eine freigegebene VPC verwendet, müssen Konnektivitätstests über ausreichende Berechtigungen verfügen, um auf Konfigurationen in den zahlreichen Projekten zuzugreifen, die diese Netzwerke verwenden.

Mit diesen Berechtigungen können Konnektivitätstests einen oder mehrere vollständige Traces des Paketpfads über verschiedene Netzwerke und Projekte ausführen. Andernfalls können Konnektivitätstests nur auf Konfigurationen innerhalb dieses Projekts zugreifen.

Berechtigungen für freigegebene VPC-Netzwerke

Für das Testen eines Dienstprojekts in einem freigegebenen VPC-Netzwerk benötigen Sie die Rolle Compute-Netzwerkbetrachter (roles/compute.networkViewer) oder die Legacy-Rolle Projektbetrachter (roles/viewer) für das Hostprojekt. Dies ist erforderlich, da sich die Firewall- und Routenkonfigurationen des Netzwerks im Hostprojekt befinden. Sie benötigen eine dieser Rollen, auch wenn die Ressourcen, die getestet werden sollen, vollständig in einem einzelnen Dienstprojekt enthalten sind.

Um einen Test vom Hostprojekt einer freigegebenen VPC für VM-Instanzen in einem Dienstprojekt auszuführen, benötigen Sie ebenfalls eine dieser Rollen (roles/compute.networkViewer oder roles/viewer) im Dienstprojekt. Darüber hinaus müssen Sie beim Erstellen des Tests die Dienstprojekt-ID angeben. Wenn Sie diese ID nicht angeben, zeigt der Konnektivitätstest das allgemeine Erreichbarkeitsergebnis Unreachable mit der Nachricht unknown IP address an.

Berechtigungen für VPC-Netzwerk-Peering, Cloud VPN und Cloud Interconnect

Bei einem Konnektivitätstest, der die Erreichbarkeit zwischen Projekten prüft, die über VPC-Netzwerk-Peering verbunden sind, variieren die angezeigten Ergebnisse abhängig von Ihren Berechtigungen.

Um die vollständigen Ergebnisse der Analyse zu sehen, benötigen Sie Rolle „Compute-Netzwerkbetrachter“ (roles/compute.networkViewer) oder Legacy-Rolle „Projektbetrachter“ (roles/viewer) in beiden Projekten.

Wenn Sie eine dieser Rollen für das Netzwerk haben, das den Quellendpunkt enthält, aber nicht für das Netzwerk, in dem sich das Ziel befindet, zeigt die Analyse ein Teilergebnis an. In der Analyse wird dann angegeben, dass das Paket an ein VPC-Netzwerk-Peering-Netzwerk gesendet wurde. Konnektivitätstests können aber keine weiteren Informationen für dieses Netzwerk bereitstellen.

Nächste Schritte