Ruoli e autorizzazioni

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questa pagina descrive i ruoli e le autorizzazioni di Identity and Access Management (IAM) necessari per eseguire i test di connettività.

Puoi concedere agli utenti o agli account di servizio le autorizzazioni o i ruoli predefiniti, oppure puoi creare un ruolo personalizzato che utilizza le autorizzazioni da te specificate.

Le autorizzazioni IAM utilizzano un prefisso networkmanagement.

Per ottenere o impostare i criteri IAM o per testare le autorizzazioni IAM con l'API Network Management, vedi Gestire i criteri di accesso.

Ruoli

Questa sezione descrive come utilizzare i ruoli predefiniti e personalizzati quando si concedono le autorizzazioni per i test di connettività.

Per una spiegazione di ogni autorizzazione, consulta la tabella delle autorizzazioni.

Per ulteriori informazioni sui ruoli dei progetti e sulle risorse Google Cloud, consulta la seguente documentazione:

Ruoli predefiniti

I test di connettività hanno i seguenti ruoli predefiniti:

  • networkmanagement.admin è autorizzato a eseguire tutte le operazioni su una risorsa di prova.
  • networkmanagement.viewer dispone dell'autorizzazione per elencare o ottenere una risorsa di test specifica.

Nella tabella seguente sono elencati i ruoli predefiniti e le autorizzazioni applicabili a ogni ruolo.

Ruolo Autorizzazioni

(roles/networkmanagement.admin)

Accesso completo alle risorse di Network Management.

Risorse di livello più basso in cui puoi concedere questo ruolo:

  • Progetto

Contiene 1 autorizzazione di proprietario

network management.*

  • networkmanagement.config.get
  • networkmanagement.config.startFreeTrial
  • networkmanagement.config.aggiornamento
  • networkmanagement.test di connettività.crea
  • networkmanagement.test di connettività.elimina
  • networkmanagement.test di connettività.get
  • networkmanagement.test di connettività.getIamPolicy
  • networkmanagement.test di connettività.elenco
  • networkmanagement.test di connettività.riesegui
  • networkmanagement.test di connettività.setIamPolicy
  • networkmanagement.test di connettività.aggiorna
  • networkmanagement.locations.get
  • networkmanagement.località.elenco
  • networkmanagement.operazioni.get
  • networkmanagement.operazioni.list

resourcemanager.organizations.get

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkmanagement.viewer)

Accesso in sola lettura alle risorse di Network Management.

Risorse di livello più basso in cui puoi concedere questo ruolo:

  • Progetto

networkmanagement.config.get

networkmanagement.test di connettività.get

networkmanagement.test di connettività.getIamPolicy

networkmanagement.test di connettività.elenco

networkmanagement.locations.*

  • networkmanagement.locations.get
  • networkmanagement.località.elenco

networkmanagement.operazioni.*

  • networkmanagement.operazioni.get
  • networkmanagement.operazioni.list

resourcemanager.organizations.get

resourcemanager.projects.get

resourcemanager.projects.list

Ruoli personalizzati

Puoi creare ruoli personalizzati selezionando un elenco di autorizzazioni dalla tabella delle autorizzazioni per i test di connettività.

Ad esempio, puoi creare un ruolo denominato reachabilityUsers e concedere le autorizzazioni list, get e rerun a questo ruolo. Un utente con questo ruolo può eseguire nuovamente i Test di connettività esistenti e visualizzare i risultati dei test aggiornati in base alla configurazione della rete più recente.

Ruoli progetto

Puoi utilizzare i ruoli di progetto per impostare le autorizzazioni per le risorse Google Cloud. Poiché i test di connettività devono avere accesso in lettura alle configurazioni delle risorse di Google Cloud nella rete Virtual Private Cloud (VPC) per eseguire un test, devi concedere almeno il ruolo Visualizzatore di rete Compute (roles/compute.networkViewer) agli utenti o agli account di servizio che eseguono un test su tali risorse. Puoi anche creare un ruolo personalizzato o autorizzare temporaneamente le autorizzazioni associate al ruolo precedente per un utente specifico.

In alternativa, puoi concedere a un utente o a un account di servizio uno dei seguenti ruoli predefiniti per i progetti Google Cloud:

Autorizzazioni

Questa sezione descrive le autorizzazioni per i test di connettività e come utilizzarle per testare diversi tipi di configurazioni di rete.

Autorizzazioni per i test di connettività

Connectivity Tests dispone delle seguenti autorizzazioni IAM.

Autorizzazione Descrizione
networkmanagement.connectivitytests.list Elenca tutti i test configurati nel progetto specificato.
networkmanagement.connectivitytests.get Visualizza i dettagli di un test specifico.
networkmanagement.connectivitytests.create Crea un nuovo oggetto di test nel progetto specificato con i dati specificati per il test. Questa autorizzazione include l'autorizzazione per aggiornare, eseguire nuovamente o eliminare test.
networkmanagement.connectivitytests.update Aggiorna uno o più campi in un test esistente.
networkmanagement.connectivitytests.delete Elimina il test specificato.
networkmanagement.connectivitytests.rerun Esegue nuovamente una verifica della connettività una tantum per un test specificato.

Se non disponi dell'autorizzazione per creare o aggiornare un test, i pulsanti corrispondenti non sono attivi. Questi includono il pulsante Crea test di connettività e il pulsante Modifica nella pagina Dettagli del test di connettività. In ogni caso, quando passi il mouse sopra il pulsante Non attivo, Test di connettività visualizza un messaggio che descrive l'autorizzazione necessaria.

Autorizzazioni per la visualizzazione dei risultati del test

Se non hai l'autorizzazione per visualizzare le risorse di Compute Engine nel percorso di rete che stai testando, puoi comunque visualizzare il risultato complessivo del test, ma i dettagli delle risorse testate sono nascosti.

Risorse del progetto

In generale, se non hai accesso a una risorsa di progetto elencata in una traccia, il risultato dell'analisi mostra un messaggio di lettura nella parte No permission to view the resource. I test di connettività nascondono il tipo di risorsa, il nome della risorsa e altri dettagli. Tuttavia, la traccia identifica il progetto a cui è associata la risorsa.

Criteri firewall gerarchici

La tua traccia potrebbe includere un criterio firewall gerarchico che non hai l'autorizzazione di visualizzazione. Tuttavia, anche se non hai l'autorizzazione per visualizzare i dettagli dei criteri, puoi comunque visualizzare le regole dei criteri applicabili alla rete VPC. Per maggiori dettagli, vedi Regole firewall efficaci nella panoramica dei criteri firewall gerarchici.

Autorizzazioni in più progetti

Se la configurazione di rete testata utilizza il peering di rete VPC o un VPC condiviso, i test di connettività devono disporre di autorizzazioni sufficienti per accedere alle configurazioni nei diversi progetti utilizzati da queste reti.

Queste autorizzazioni consentono ai test di connettività di eseguire una o più tracce complete del percorso pacchetto in più reti e progetti. In caso contrario, i test di connettività possono accedere alle configurazioni solo all'interno di quel progetto.

Autorizzazioni per le reti VPC condivise

Per eseguire un test da un progetto di servizio in una rete VPC condivisa, devi avere il ruolo Visualizzatore rete Compute (roles/compute.networkViewer) o il ruolo Visualizzatore progetto precedente (roles/viewer) per il progetto host. Questo requisito esiste perché il firewall e la rete delle configurazioni di percorso della rete si trovano nel progetto host. Devi disporre di uno di questi ruoli anche se le risorse di cui esegui il test esistono interamente all'interno di un singolo progetto di servizio.

Per eseguire un test da un progetto host con VPC condiviso a istanze di macchine virtuali (VM) in un progetto di servizio, devi avere anche uno di questi ruoli (roles/compute.networkViewer o roles/viewer) nel progetto di servizio. Inoltre, quando crei il test, devi fornire l'ID progetto di servizio. Se non fornisci questo ID, il test di connettività mostra un risultato complessivo di connettività di Unreachable con un messaggio unknown IP address.

Autorizzazioni per peering di rete VPC, Cloud VPN e Cloud Interconnect

Se hai un test di connettività che esamina la connettività tra progetti collegati tramite peering di rete VPC, i risultati visualizzati variano a seconda delle autorizzazioni.

Per visualizzare i risultati completi dell'analisi, devi avere il ruolo Visualizzatore rete Compute (roles/compute.networkViewer) o il ruolo Visualizzatore progetto (roles/viewer) legacy in entrambi i progetti.

Se hai uno di questi ruoli per la rete che contiene l'endpoint di origine, ma non per la rete che contiene la destinazione, l'analisi mostra un risultato parziale. Ciò significa che l'analisi mostra che il pacchetto è stato inviato a una rete di peering di rete VPC. Tuttavia, i Test di connettività non possono fornire informazioni aggiuntive per la rete in questione.

Passaggi successivi