Ruoli e autorizzazioni

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questa pagina descrive i ruoli e le autorizzazioni di Identity and Access Management (IAM) necessari per eseguire i test di connettività.

Puoi concedere a utenti o account di servizio le autorizzazioni o i ruoli predefiniti, oppure puoi creare un ruolo personalizzato che utilizzi le autorizzazioni specificate.

Le autorizzazioni IAM utilizzano un prefisso di networkmanagement.

Per ottenere o impostare i criteri IAM o per testare le autorizzazioni IAM con l'API Network Management, consulta Gestire i criteri di accesso.

Ruoli

Questa sezione descrive come utilizzare i ruoli predefiniti e personalizzati quando si concedono le autorizzazioni per i test di connettività.

Per una spiegazione di ogni autorizzazione, consulta la tabella delle autorizzazioni.

Per ulteriori informazioni sui ruoli dei progetti e sulle risorse Google Cloud, consulta la seguente documentazione:

Ruoli predefiniti

Connectivity Tests ha i ruoli predefiniti seguenti:

  • networkmanagement.admin ha l'autorizzazione per eseguire tutte le operazioni su una risorsa di test.
  • networkmanagement.viewer dispone dell'autorizzazione per elencare o ottenere una risorsa di test specifica.

La tabella seguente elenca i ruoli predefiniti e le autorizzazioni che si applicano a ciascun ruolo.

Ruolo Autorizzazioni

(roles/networkmanagement.admin)

Accesso completo alle risorse di Network Management.

Le risorse di livello più basso in cui puoi concedere questo ruolo:

  • Progetto

Contiene 1 autorizzazione di proprietario

gestione della rete.*

  • networkmanagement.config.get
  • networkmanagement.config.startFreeTrial
  • networkmanagement.config.aggiorna
  • networkmanagement.test di connettività.crea
  • networkmanagement.testdiconnettività.elimina
  • networkmanagement.test di connettività.get
  • networkmanagement.testdiconnettività.getIamPolicy
  • networkmanagement.connectivitytests.Elenco
  • networkmanagement.testtest di connettività.riesegui
  • networkmanagement.connectivitytests.setIamPolicy
  • networkmanagement.testdiconnettività.aggiorna
  • networkmanagement. delle sedi.get
  • networkmanagement.località.elenco
  • networkmanagement.operazioni.get
  • operazioni di gestione della rete..
  • networkmanagement.topologia.leggi

resourcemanager. per le organizzazioni.per

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkmanagement.viewer)

Accesso in sola lettura alle risorse di Network Management.

Le risorse di livello più basso in cui puoi concedere questo ruolo:

  • Progetto

networkmanagement.config.get

networkmanagement.test di connettività.get

networkmanagement.testdiconnettività.getIamPolicy

networkmanagement.connectivitytests.Elenco

networkmanagement.locations.*

  • networkmanagement. delle sedi.get
  • networkmanagement.località.elenco

networkmanagement.operations.*

  • networkmanagement.operazioni.get
  • operazioni di gestione della rete..

networkmanagement.topologia.leggi

resourcemanager. per le organizzazioni.per

resourcemanager.projects.get

resourcemanager.projects.list

Ruoli personalizzati

Per creare ruoli personalizzati seleziona un elenco di autorizzazioni dalla tabella delle autorizzazioni per i test di connettività.

Ad esempio, puoi creare un ruolo denominato reachabilityUsers e concedere le autorizzazioni list, get e rerun a questo ruolo. Un utente con questo ruolo può eseguire nuovamente i test di connettività esistenti e visualizzare i risultati dei test aggiornati in base alla configurazione di rete più recente.

Ruoli progetto

Puoi utilizzare i ruoli di progetto per impostare le autorizzazioni per le risorse Google Cloud. Poiché per eseguire un test, i test di connettività devono avere accesso in lettura alle configurazioni delle risorse di Google Cloud nella rete Virtual Private Cloud (VPC), devi concedere almeno il ruolo Visualizzatore di rete Compute (roles/compute.networkViewer) agli utenti o agli account di servizio che eseguono un test su queste risorse. Puoi anche creare un ruolo personalizzato o autorizzare temporaneamente le autorizzazioni associate al ruolo precedente per un utente specifico.

In alternativa, puoi concedere a un account utente o di servizio uno dei seguenti ruoli predefiniti per i progetti Google Cloud:

Autorizzazioni

In questa sezione vengono descritte le autorizzazioni per i test di connettività e come utilizzarli durante il test di diversi tipi di configurazioni di rete.

Autorizzazioni per i test di connettività

Connectivity Tests ha le seguenti autorizzazioni IAM.

Autorizzazione Descrizione
networkmanagement.connectivitytests.list Elenca tutti i test configurati nel progetto specificato.
networkmanagement.connectivitytests.get Visualizza i dettagli di un test specifico.
networkmanagement.connectivitytests.create Crea un nuovo oggetto di test nel progetto specificato con i dati che hai specificato per il test. Questa autorizzazione include l'autorizzazione per aggiornare, eseguire nuovamente o eliminare test.
networkmanagement.connectivitytests.update Aggiorna uno o più campi in un test esistente.
networkmanagement.connectivitytests.delete Elimina il test specificato.
networkmanagement.connectivitytests.rerun Esegue nuovamente una verifica della connettività una tantum per un test specificato.

Se non disponi dell'autorizzazione per creare o aggiornare un test, i pulsanti corrispondenti non sono attivi. Questi includono il pulsante Crea test di connettività e, nella pagina Dettagli del test di connettività, il pulsante Modifica. In ogni caso, quando passi il mouse sopra il pulsante inattivo, Connectivity Tests visualizza un messaggio che descrive l'autorizzazione necessaria.

Autorizzazioni per visualizzare i risultati dei test

Se non hai l'autorizzazione per visualizzare le risorse di Compute Engine nel percorso di rete che stai testando, puoi comunque vedere il risultato complessivo del test, ma i dettagli sulle risorse testate sono nascosti.

Risorse del progetto

In generale, se non hai accesso a una risorsa di progetto elencata in una traccia, il risultato dell'analisi mostra un messaggio che legge nella parte No permission to view the resource. I test di connettività nascondono il tipo di risorsa, il nome della risorsa e altri dettagli. Tuttavia, la traccia identifica il progetto a cui è associata la risorsa.

Criteri firewall gerarchici

La tua traccia potrebbe includere un criterio firewall gerarchico che non hai autorizzazione per visualizzare. Tuttavia, anche se non hai l'autorizzazione per visualizzare i dettagli dei criteri, puoi comunque visualizzare le regole dei criteri che si applicano alla tua rete VPC. Per i dettagli, consulta la sezione Regole firewall efficaci nella panoramica dei criteri firewall gerarchici.

Autorizzazioni per più progetti

Se la configurazione di rete testata utilizza il peering di rete VPC o il VPC condiviso, i test di connettività devono disporre di autorizzazioni sufficienti per accedere alle configurazioni nei diversi progetti utilizzati da queste reti.

Queste autorizzazioni consentono ai test di connettività di eseguire una o più tracce complete del percorso del pacchetto su reti e progetti diversi. Altrimenti, i test di connettività possono accedere alle configurazioni solo all'interno di quel progetto.

Autorizzazioni per le reti VPC condivise

Per eseguire un test da un progetto di servizio in una rete VPC condivisa, devi avere il ruolo Visualizzatore rete Compute (roles/compute.networkViewer) o il ruolo Visualizzatore progetto precedente (roles/viewer) per il progetto host. Questo requisito esiste perché la rete di configurazione del firewall e del percorso della rete si trova nel progetto host. Devi avere uno di questi ruoli anche se le risorse che stai testando esistono interamente in un singolo progetto di servizio.

Per eseguire un test da un progetto host con VPC condiviso a istanze di macchine virtuali (VM) in un progetto di servizio, devi avere anche uno di questi ruoli (roles/compute.networkViewer o roles/viewer) nel progetto di servizio. Inoltre, quando crei il test, devi fornire l'ID progetto di servizio. Se non fornisci questo ID, il test di connettività mostra un risultato complessivo di connettività per Unreachable con un messaggio unknown IP address.

Autorizzazioni per peering di rete VPC, Cloud VPN e Cloud Interconnect

Se hai un test di connettività che esamina la connettività tra progetti collegati tramite peering di rete VPC, i risultati che vedi variano a seconda delle tue autorizzazioni.

Per visualizzare i risultati completi dell'analisi, devi avere il ruolo Visualizzatore rete Compute (roles/compute.networkViewer) o il ruolo Visualizzatore progetto legacy (roles/viewer) in entrambi i progetti.

Se hai uno di questi ruoli per la rete che contiene l'endpoint di origine, ma non la rete che contiene la destinazione, l'analisi mostra un risultato parziale. In altre parole, l'analisi mostra che il pacchetto è stato inviato a una rete di peering di rete VPC. Tuttavia, i test di connettività non possono fornire ulteriori informazioni sulla rete in questione.

Passaggi successivi