In questa pagina vengono descritti i ruoli e le autorizzazioni di Identity and Access Management (IAM) necessari per eseguire Connectivity Tests.
Puoi concedere a utenti o account di servizio autorizzazioni o ruoli predefiniti oppure puoi creare un ruolo personalizzato che utilizza le autorizzazioni da te specificate.
Le autorizzazioni IAM utilizzano un prefisso di networkmanagement.
Per ottenere o impostare i criteri IAM oppure per testare le autorizzazioni IAM con l'API Network Management, consulta Gestire i criteri di accesso.
Ruoli
Questa sezione descrive come utilizzare i ruoli predefiniti e personalizzati quando concedi le autorizzazioni per Connectivity Tests.
Per una spiegazione di ciascuna autorizzazione, consulta la tabella delle autorizzazioni.
Per ulteriori informazioni sui ruoli di progetto e sulle risorse Google Cloud, consulta la seguente documentazione:
- Documentazione di Resource Manager
- Documentazione di Identity and Access Management
- Documentazione di Compute Engine che descrive il controllo dell'accesso
Ruoli predefiniti
Connectivity Tests prevede i seguenti ruoli predefiniti:
networkmanagement.adminha l'autorizzazione per eseguire tutte le operazioni su una risorsa di test.networkmanagement.viewerha l'autorizzazione per elencare o recuperare una risorsa di test specifica.
La seguente tabella elenca i ruoli predefiniti e le autorizzazioni che si applicano a ciascun ruolo.
| Role | Permissions |
|---|---|
Network Management Admin( Full access to Network Management resources. Lowest-level resources where you can grant this role:
|
|
Network Management Viewer( Read-only access to Network Management resources. Lowest-level resources where you can grant this role:
|
|
Ruoli personalizzati
Puoi creare ruoli personalizzati selezionando un elenco di autorizzazioni dalla tabella delle autorizzazioni per Connectivity Tests.
Ad esempio, puoi creare un ruolo denominato reachabilityUsers e concedere le autorizzazioni list, get e rerun a questo ruolo. Un utente con questo ruolo può eseguire nuovamente Connectivity Tests esistenti e visualizzare i risultati aggiornati dei test in base all'ultima configurazione di rete.
Ruoli progetto
Puoi utilizzare i ruoli di progetto per impostare le autorizzazioni per le risorse Google Cloud.
Poiché i test di connettività devono avere accesso in lettura alle configurazioni delle risorse di Google Cloud nella rete Virtual Private Cloud (VPC) per eseguire un test, devi concedere almeno il ruolo Visualizzatore rete Compute (roles/compute.networkViewer) agli utenti o agli account di servizio che eseguono un test su queste risorse. Puoi anche creare un ruolo personalizzato o autorizzare temporaneamente le autorizzazioni associate al ruolo precedente per un utente specifico.
In alternativa, puoi concedere a un account utente o di servizio uno dei seguenti ruoli predefiniti per i progetti Google Cloud:
project.viewerha tutte le autorizzazioni di un ruolonetworkmanagement.viewer.project.editoroproject.ownerdispone di tutte le autorizzazioni del ruolonetworkmanagement.admin.
Autorizzazioni
Questa sezione descrive le autorizzazioni per Connectivity Tests e come utilizzarle durante i test di diversi tipi di configurazioni di rete.
Autorizzazioni Connectivity Tests
Connectivity Tests ha le seguenti autorizzazioni IAM.
| Autorizzazione | Descrizione |
|---|---|
networkmanagement.connectivitytests.list |
Elenca tutti i test configurati nel progetto specificato. |
networkmanagement.connectivitytests.get |
Consente di acquisire i dettagli di un test specifico. |
networkmanagement.connectivitytests.create |
Crea un nuovo oggetto di test nel progetto specificato con i dati specificati per il test. Questa autorizzazione include l'autorizzazione ad aggiornare, ripetere o eliminare test. |
networkmanagement.connectivitytests.update |
Aggiorna uno o più campi in un test esistente. |
networkmanagement.connectivitytests.delete |
Elimina il test specificato. |
networkmanagement.connectivitytests.rerun |
Esegue di nuovo una verifica una tantum della connettività per un test specificato. |
Se non hai l'autorizzazione per creare o aggiornare un test, i pulsanti corrispondenti non sono attivi. tra cui il pulsante Crea test di connettività e, nella pagina Dettagli del test di connettività, il pulsante Modifica. In ogni caso, quando passi il mouse sopra il pulsante Non attivo, Connectivity Tests visualizza un messaggio che descrive l'autorizzazione necessaria.
Autorizzazioni per visualizzare i risultati dei test
Se non hai l'autorizzazione per visualizzare le risorse Compute Engine nel percorso di rete che stai testando, puoi comunque vedere il risultato complessivo del test, ma i dettagli sulle risorse testate sono nascosti.
Risorse del progetto
In generale, se non hai accesso a una risorsa di progetto elencata in una traccia, il risultato dell'analisi mostra la lettura di un messaggio nella parte No permission to view
the resource.
Connectivity Tests nasconde il tipo e il nome della risorsa e altri dettagli. Tuttavia, la traccia identifica il progetto a cui è associata la risorsa.
Criteri firewall gerarchici
La traccia potrebbe includere un criterio firewall gerarchico per cui non disponi dell'autorizzazione di visualizzazione. Tuttavia, anche se non hai l'autorizzazione per visualizzare i dettagli del criterio, puoi comunque visualizzare le regole dei criteri che si applicano alla tua rete VPC. Per maggiori dettagli, consulta Regole firewall efficaci nella panoramica dei criteri firewall gerarchici.
Autorizzazioni in più progetti
Se la configurazione di rete che testi utilizza il peering di rete VPC o il VPC condiviso, Connectivity Tests devono disporre di autorizzazioni sufficienti per accedere alle configurazioni nei più progetti utilizzati da queste reti.
Queste autorizzazioni consentono a Connectivity Tests di eseguire una o più tracce complete del percorso del pacchetto in reti e progetti diversi. In caso contrario, Connectivity Tests possono accedere alle configurazioni solo all'interno di quel progetto.
Autorizzazioni per le reti VPC condiviso
Per eseguire un test da un progetto di servizio in una rete VPC condiviso, devi disporre del ruolo Visualizzatore rete Compute (roles/compute.networkViewer) o del ruolo Visualizzatore progetto (roles/viewer) legacy per il progetto host. Questo requisito esiste perché la rete di configurazione del firewall e dei percorsi della rete si trova nel progetto host. Devi avere uno di questi ruoli anche se le risorse che stai testando esistono interamente all'interno di un singolo progetto di servizio.
Per eseguire un test da un progetto host VPC condiviso alle istanze di macchine virtuali (VM) in un progetto di servizio, devi avere anche uno di questi ruoli (roles/compute.networkViewer o roles/viewer) nel progetto di servizio. Inoltre, quando crei il test, devi fornire l'ID progetto di servizio. Se non fornisci questo ID, il test di connettività mostra un risultato complessivo di raggiungibilità di Unreachable con un messaggio unknown IP address.
Autorizzazioni per peering di rete VPC, Cloud VPN e Cloud Interconnect
Se disponi di un test di connettività che esamina la connettività tra progetti connessi tramite peering di rete VPC, i risultati visualizzati variano a seconda delle autorizzazioni.
Per visualizzare i risultati completi dell'analisi, devi disporre del ruolo Visualizzatore rete Compute (roles/compute.networkViewer) o del ruolo Visualizzatore progetto precedente (roles/viewer) in entrambi i progetti.
Se hai uno di questi ruoli per la rete che contiene l'endpoint di origine, ma non la rete che contiene la destinazione, l'analisi mostra un risultato parziale. In altre parole, l'analisi mostra che il pacchetto è stato inviato a una rete di peering di rete VPC. Tuttavia, Connectivity Tests non possono fornire informazioni aggiuntive per la rete in questione.
Passaggi successivi
- Gestire i criteri di accesso
- Scopri di più su Connectivity Tests
- Crea ed esegui Connectivity Tests
- Risolvere i problemi relativi a Connectivity Tests