Contrôle des accès pour Connectivity Tests

Cette page décrit les rôles et autorisations Identity and Access Management nécessaires à l'exécution de Connectivity Tests.

Vous pouvez accorder aux utilisateurs ou aux comptes de service des autorisations ou un rôle prédéfini. Vous pouvez également créer un rôle personnalisé qui utilise les autorisations que vous spécifiez.

Les autorisations IAM utilisent un préfixe networkmanagement.

Pour obtenir ou définir des stratégies IAM ou tester les autorisations IAM avec l'API Network Management, consultez la section Gérer le contrôle des accès.

Rôles

Cette section explique comment utiliser des rôles prédéfinis et personnalisés lors de l'octroi d'autorisations pour Connectivity Tests.

Pour en savoir plus sur chaque autorisation, consultez le tableau des autorisations.

Pour plus d'informations sur les rôles au niveau du projet et les ressources Google Cloud, consultez les documentations suivantes :

Rôles prédéfinis

Connectivity Tests offre les rôles prédéfinis suivants :

  • Le rôle networkmanagement.admin est autorisé à effectuer toutes les opérations sur une ressource de test.
  • Le rôle networkmanagement.viewer est autorisé à répertorier ou à obtenir une ressource de test spécifique.

Le tableau suivant répertorie les rôles prédéfinis et les autorisations qui s'appliquent à chaque rôle.

Rôle Titre Description Autorisations Ressource la plus basse
roles/networkmanagement.admin Administrateur Network Management Accès complet aux ressources Network Management.
  • networkmanagement.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/networkmanagement.viewer Lecteur Network Management Accès en lecture seule aux ressources Network Management.
  • networkmanagement.connectivitytests.get
  • networkmanagement.connectivitytests.getIamPolicy
  • networkmanagement.connectivitytests.list
  • networkmanagement.locations.*
  • networkmanagement.operations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Rôles personnalisés

Vous pouvez créer des rôles personnalisés en sélectionnant une liste d'autorisations dans la table d'autorisations pour Connectivity Tests.

Par exemple, vous pouvez créer un rôle appelé reachabilityUsers et lui accorder les autorisations list, get et rerun. Un utilisateur disposant de ce rôle peut réexécuter les tests Connectivity Tests existants et afficher les résultats des tests mis à jour en fonction de la dernière configuration réseau.

Utiliser les rôles au niveau du projet pour définir des autorisations sur les ressources Google Cloud

Étant donné que Connectivity Tests doit disposer d'un accès en lecture aux configurations de ressources Google Cloud dans votre réseau VPC (Virtual Private Cloud) pour exécuter un test, vous devez attribuer au moins le rôle compute.networkViewer aux utilisateurs ou aux comptes de service qui effectuent un test sur ces ressources. Vous pouvez également créer un rôle personnalisé ou autoriser temporairement des autorisations associées au rôle précédent pour un utilisateur spécifique.

Vous pouvez également accorder à un compte d'utilisateur ou un compte service l'un des rôles prédéfinis suivants pour les projets Google Cloud :

Permissions

Cette section décrit les autorisations pour Connectivity Tests et leur utilisation lors du test de différents types de configurations réseau.

Autorisations Connectivity Tests

Connectivity Tests dispose des autorisations IAM suivantes.

Autorisation Description
networkmanagement.connectivitytests.list Répertorie tous les tests configurés dans le projet spécifié.
networkmanagement.connectivityTests.get Récupère les détails d'un test spécifique.
networkmanagement.connectivitytests.create Crée un nouvel objet de test dans le projet spécifié avec les données que vous spécifiez pour le test. Cette autorisation inclut la possibilité de mettre à jour, de réexécuter ou de supprimer des tests.
networkmanagement.connectivitytests.update Met à jour un ou plusieurs champs dans un test existant.
networkmanagement.connectivitytests.delete Supprime le test spécifié.
networkmanagement.connectivitytests.rerun Réexécute un processus de vérification de l'accessibilité unique pour un test spécifié.

Autorisations d'exécution et d'affichage des tests

Si vous n'êtes pas autorisé à créer ou à mettre à jour un test, le message permission denied s'affiche.

Si vous n'êtes pas autorisé à afficher les ressources Compute Engine dans le chemin réseau que vous testez, vous pouvez toujours voir le résultat global du test, mais les détails des ressources testées sont masqués et les résultats du test affichent un message permission denied pour chaque ressource pour laquelle vous ne disposez pas des autorisations.

Même si vous obtenez la valeur Deliver pour l'état final (final state) de votre test, les résultats du test affichent permission denied si vous n'avez pas les autorisations sur les configurations que vous testez.

Vous pouvez déterminer pour quel projet vous avez besoin d'autorisations afin de consulter les détails de la ressource, mais vous ne pouvez pas voir les types de ressource qui sont masqués.

Autorisations sur plusieurs projets

Si la configuration réseau que vous testez utilise l'appairage de réseaux VPC ou un VPC partagé, Connectivity Tests doit disposer des autorisations suffisantes pour accéder aux configurations dans les multiples projets utilisés par ces réseaux.

Ces autorisations permettent à Connectivity Tests d'exécuter une ou plusieurs traces complètes du chemin d'accès au paquet sur différents réseaux et projets. Sinon, Connectivity Tests ne peut accéder aux configurations que dans ce projet.

Autorisations pour les réseaux VPC partagés

Lorsque vous exécutez un test à partir d'un projet de service dans un réseau VPC partagé, vous devez disposer de l'autorisation read sur la configuration du réseau dans le projet hôte. En effet, les configurations de pare-feu et de routage du réseau sont situées dans le projet hôte. Cela est valable même si les ressources que vous testez existent entièrement dans un seul projet de service.

Lorsque vous exécutez un test depuis un projet hôte de VPC partagé vers des instances de machine virtuelle (VM) dans un projet de service, vous devez avoir l'autorisation de lire les configurations de VM dans le projet de service.

Si vous avez des autorisations uniquement sur le projet hôte et que vous ne fournissez pas l'ID de projet de service au test Connectivity Tests, le résultat du test affiche l'état final Unreachable avec le message unknown IP address.

Autorisations pour l'appairage de réseaux VPC, Cloud VPN et Cloud Interconnect

Connectivity Tests doit disposer de l'autorisation read pour exécuter un test pour les réseaux d'appairage de réseau VPC dans les projets qui les contiennent.

Si vous n'avez accès qu'à un seul réseau dans une connexion d'appairage de réseaux VPC, les résultats du test montrent que le paquet a été envoyé à un réseau d'appairage de réseaux VPC. Cependant, Connectivity Tests ne peut fournir aucune information supplémentaire pour ce réseau.

Étape suivante