Ruoli e autorizzazioni

Questa pagina descrive i ruoli e le autorizzazioni di Identity and Access Management (IAM) necessari per eseguire Connectivity Tests.

Puoi concedere agli utenti o agli account di servizio autorizzazioni o ruoli predefiniti oppure puoi creare un ruolo personalizzato che utilizzi le autorizzazioni specificate.

Le autorizzazioni IAM utilizzano un prefisso networkmanagement.

Per recuperare o impostare i criteri IAM o per testare le autorizzazioni IAM con l'API Network Management, consulta Gestire i criteri di accesso.

Ruoli

Questa sezione descrive come utilizzare i ruoli predefiniti e personalizzati per concedere le autorizzazioni per Connectivity Tests.

Per una spiegazione di ciascuna autorizzazione, consulta la tabella delle autorizzazioni.

Per ulteriori informazioni sui ruoli del progetto e sulle risorse Google Cloud, consulta la seguente documentazione:

Ruoli predefiniti

Connectivity Tests dispone dei seguenti ruoli predefiniti:

  • networkmanagement.admin ha l'autorizzazione per eseguire tutte le operazioni su una risorsa di test.
  • networkmanagement.viewer ha l'autorizzazione per elencare o recuperare una risorsa di test specifica.

La tabella seguente elenca i ruoli predefiniti e le autorizzazioni applicate a ciascun ruolo.

Role Permissions

(roles/networkmanagement.admin)

Full access to Network Management resources.

Lowest-level resources where you can grant this role:

  • Project

networkmanagement.*

  • networkmanagement.connectivitytests.create
  • networkmanagement.connectivitytests.delete
  • networkmanagement.connectivitytests.get
  • networkmanagement.connectivitytests.getIamPolicy
  • networkmanagement.connectivitytests.list
  • networkmanagement.connectivitytests.rerun
  • networkmanagement.connectivitytests.setIamPolicy
  • networkmanagement.connectivitytests.update
  • networkmanagement.locations.get
  • networkmanagement.locations.list
  • networkmanagement.operations.cancel
  • networkmanagement.operations.delete
  • networkmanagement.operations.get
  • networkmanagement.operations.list
  • networkmanagement.vpcflowlogsconfigs.create
  • networkmanagement.vpcflowlogsconfigs.delete
  • networkmanagement.vpcflowlogsconfigs.get
  • networkmanagement.vpcflowlogsconfigs.list
  • networkmanagement.vpcflowlogsconfigs.update

resourcemanager.organizations.get

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkmanagement.viewer)

Read-only access to Network Management resources.

Lowest-level resources where you can grant this role:

  • Project

networkmanagement.connectivitytests.get

networkmanagement.connectivitytests.getIamPolicy

networkmanagement.connectivitytests.list

networkmanagement.locations.*

  • networkmanagement.locations.get
  • networkmanagement.locations.list

networkmanagement.operations.get

networkmanagement.operations.list

networkmanagement.vpcflowlogsconfigs.get

networkmanagement.vpcflowlogsconfigs.list

resourcemanager.organizations.get

resourcemanager.projects.get

resourcemanager.projects.list

Ruoli personalizzati

Puoi creare ruoli personalizzati selezionando un elenco di autorizzazioni dalla tabella delle autorizzazioni per Connectivity Tests.

Ad esempio, puoi creare un ruolo denominato reachabilityUsers e assegnare le autorizzazioni list, get e rerun a questo ruolo. Un utente con questo ruolo può eseguire nuovamente Connectivity Tests esistenti e visualizzare i risultati dei test aggiornati in base all'ultima configurazione di rete.

Ruoli progetto

Puoi utilizzare i ruoli del progetto per impostare le autorizzazioni per le risorse Google Cloud. Poiché i test di connettività devono disporre dell'accesso in lettura alle configurazioni delle risorse Google Cloud nella rete Virtual Private Cloud (VPC) per eseguire un test, devi concedere almeno il ruolo Visualizzatore della rete di calcolo (roles/compute.networkViewer) agli utenti o agli account di servizio che eseguono un test su queste risorse. Puoi anche creare un ruolo personalizzato o autorizzare temporaneamente le autorizzazioni associate al ruolo precedente per un utente specifico.

In alternativa, puoi concedere a un utente o a un account di servizio uno dei seguenti ruoli predefiniti per i progetti Google Cloud:

Autorizzazioni

Questa sezione descrive le autorizzazioni per Connectivity Tests e come usarle per testare diversi tipi di configurazioni di rete.

Autorizzazioni di Connectivity Tests

Connectivity Tests dispone delle seguenti autorizzazioni IAM.

Autorizzazione Descrizione
networkmanagement.connectivitytests.list Elenca tutti i test configurati nel progetto specificato.
networkmanagement.connectivitytests.get Recupera i dettagli di un test specifico.
networkmanagement.connectivitytests.create Crea un nuovo oggetto di test nel progetto specificato con i dati che specifichi per il test. Questa autorizzazione include l'autorizzazione per aggiornare, eseguire nuovamente o eliminare i test.
networkmanagement.connectivitytests.update Aggiorna uno o più campi di un test esistente.
networkmanagement.connectivitytests.delete Consente di eliminare il test specificato.
networkmanagement.connectivitytests.rerun Esegue di nuovo una verifica di raggiungibilità una tantum per un test specificato.

Se non disponi dell'autorizzazione per creare o aggiornare un test, i pulsanti corrispondenti non sono attivi. Sono inclusi il pulsante Crea test di connettività e, nella pagina Dettagli test di connettività, il pulsante Modifica. In ogni caso, quando tieni premuto il cursore sopra il pulsante non attivo, Connectivity Tests mostra un messaggio che descrive l'autorizzazione necessaria.

Autorizzazioni per l'esecuzione di un test

Per eseguire un test, devi disporre dei seguenti ruoli e autorizzazioni:

  • L'autorizzazione networkmanagement.connectivitytests.create (o networkmanagement.connectivitytests.rerun) in un progetto con una risorsa Connectivity Tests.
  • Ruolo Visualizzatore rete Compute (roles/compute.networkViewer) o il precedente ruolo Visualizzatore (roles/viewer) a tutti i progetti inclusi nel percorso traccia.

Tieni presente le seguenti considerazioni aggiuntive relative ai diversi tipi di opzioni di connettività.

Connettività VPC Network Peering, Network Connectivity Center o Cloud VPN

Se il percorso della traccia include il peering di rete VPC, Network Connectivity Center o la connettività Cloud VPN a una rete in un altro progetto, un percorso del pacchetto in quella rete viene simulato solo se disponi delle autorizzazioni per quel progetto. In caso contrario, viene restituito un risultato di test incompleto (ad esempio, una traccia che termina con lo stato finale Inoltra).

Progetti VPC condiviso

Se un endpoint di origine o di destinazione (ad esempio un'istanza di una macchina virtuale) utilizza una rete VPC condiviso, devi disporre dell'autorizzazione per accedere sia al progetto host sia al progetto di servizio.

  • Se disponi dell'autorizzazione per accedere sia al progetto host sia a quello di servizio, le informazioni sulla traccia includono i dettagli di tutte le risorse pertinenti.
  • Se non disponi dell'autorizzazione per accedere a uno dei progetti, le informazioni sulle risorse definite in questo progetto sono nascoste nella traccia. Viene visualizzato un errore di autorizzazione.
Esempi
  • Hai accesso al progetto dell'istanza VM (progetto di servizio), ma non hai accesso al progetto di rete (progetto host). Se esegui un test con questa istanza VM come origine (specificata dal nome), tutti i passaggi associati al progetto host (ad esempio l'applicazione di firewall o route) vengono nascosti.

  • Hai accesso al progetto di rete (progetto host), ma non al progetto VM (progetto di servizio). Se esegui un test con questa istanza VM come origine (specificata dal relativo indirizzo IP), tutti i passaggi associati al progetto di servizio, ad esempio un passaggio con i dettagli dell'istanza VM, vengono nascosti.

Servizi pubblicati di Private Service Connect

Se il pacchetto arriva al servizio pubblicato di Private Service Connect (tramite un endpoint o un backend di Private Service Connect), la parte della traccia nel progetto del produttore viene mostrata solo se hai accesso. In caso contrario, la traccia termina con uno stato finale generale, ad esempio Packet delivered to the PSC producer project (Pacchetto consegnato al progetto del producer PSC) o Packet dropped inside the PSC producer project (Pacchetto perso all'interno del progetto del producer PSC).

Servizi gestiti da Google

Se il pacchetto va verso o dalla rete gestita da Google associata a un servizio gestito da Google (come Cloud SQL), i passaggi all'interno del progetto gestito da Google non vengono mostrati. Viene visualizzato un passaggio iniziale generale o un passaggio finale.

Indirizzi IP pubblici delle risorse Google Cloud

Se specifichi un indirizzo IP pubblico assegnato a una risorsa in uno dei tuoi progetti come origine o destinazione di test, ma non disponi delle autorizzazioni per il progetto in cui è definita la risorsa con questo indirizzo, questo indirizzo IP è considerato un indirizzo IP di internet. Non vengono visualizzati dettagli sulla risorsa o sul percorso del pacchetto sottostante dopo aver raggiunto questa risorsa.

Autorizzazioni per la visualizzazione dei risultati dei test

Per visualizzare i risultati del test, tieni presente quanto segue:

  • Per visualizzare i risultati dei test creati o aggiornati dopo ottobre 2024, è sufficiente avere l'autorizzazione per visualizzare la risorsa di test (networkmanagement.connectivitytests.get); non sono necessarie autorizzazioni per le risorse e i progetti inclusi nel percorso della traccia.
  • Per visualizzare i risultati dei test eseguiti prima di ottobre 2024, devi disporre del ruolo Visualizzatore rete Compute o del precedente ruolo Visualizzatore (roles/viewer) per tutti i progetti inclusi nel percorso traccia.

Criteri firewall gerarchici

La traccia potrebbe includere un criterio firewall gerarchico per il quale non hai l'autorizzazione per la visualizzazione. Tuttavia, anche se non disponi dell'autorizzazione per visualizzare i dettagli del criterio, puoi comunque vedere le regole del criterio che si applicano alla tua rete VPC. Per maggiori dettagli, consulta i ruoli IAM nella panoramica "Criteri firewall gerarchici".

Passaggi successivi