Zugriffsrichtlinien verwalten

Sie können die Richtlinie für die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) oder die Zugriffssteuerung für einen oder mehrere Konnektivitätstests festlegen oder abrufen. Darüber hinaus können Sie die Berechtigungen aufrufen, die ein Nutzer oder ein Dienstkonto für einen bestimmten Konnektivitätstest hat.

Dieses Dokument zeigt Beispiele für die Zugriffssteuerung, bei denen die Network Management API verwendet wird. Informationen zum Ausführen dieser Schritte in der Google Cloud Console oder mithilfe von gcloud-Befehlen finden Sie in den IAM-Anleitungen.

Informationen zu Richtlinienbindungen und ETags, die in den folgenden Befehlen aufgeführt sind, finden Sie in der API-Referenz für IAM-Richtlinien.

Informationen zu den IAM-Rollen und Berechtigungen, die zum Ausführen von Konnektivitätstests erforderlich sind, finden Sie unter Rollen und Berechtigungen.

Richtlinien für die Zugriffssteuerung festlegen

Mit diesem Verfahren wird die Zugriffssteuerungsrichtlinie für die angegebene Konnektivitätstests-Ressource festgelegt.

API

Legen Sie die Zugriffssteuerungsrichtlinie für einen USER, eine ROLE und eine TEST_ID mithilfe der Methode networkmanagement.connectivitytests.setIamPolicy fest.

Im folgenden Beispiel wird eine Richtlinie festgelegt, die die Rolle networkmanagement.admin für mytest-1 an username@yourcompany.com bindet.

 POST https: //networkmanagement.googleapis.com/v1/{resource=projects/*/locations/global/connectivityTests/TEST_ID}:setIamPolicy
   {
     "version": "VERSION",
     "etag": "ETAG",
     "bindings": [{
       "role": "ROLE",
       "members": [
         "PRINCIPAL"
       ]
     }]
   }

Ersetzen Sie die folgenden Werte:

  • TEST_ID: die ID des Objekts "Konnektivitätstests" (Test), das Sie ausführen
  • VERSION: gibt das Format der Richtlinie an. Gültige Werte sind 0, 1 und 3. Bei jedem Vorgang, der sich auf bedingte Rollenbindungen auswirkt, muss die Version 3 angegeben werden.
  • ETAG: wird für eine optimistische Gleichzeitigkeitserkennung verwendet, mit der verhindert werden kann, dass sich gleichzeitige Aktualisierungen einer Richtlinie gegenseitig überschreiben (ein ETag ist z. B. BwWbrqiZFRs=).
  • ROLE: eine Rolle, die Hauptkonten zugewiesen ist (z. B. roles/networkmanagement.admin)
  • PRINCIPAL: gibt die Identitäten an, die Zugriff auf eine Google Cloud-Ressource anfordern, z. B. user:username@yourcompany.com. Eine Liste der Hauptkonten oder Mitgliedertypen finden Sie in der API-Referenz zu IAM-Richtlinien.

Zugriffssteuerungsrichtlinie abrufen

In diesem Verfahren wird die Zugriffssteuerungsrichtlinie für die angegebene Konnektivitätstests-Ressource abgerufen.

API

Legen Sie die Zugriffssteuerungsrichtlinie für ein PRINCIPAL, eine ROLE und eine TEST_ID mithilfe der Methode networkmanagement.connectivitytests.getIamPolicy fest.

Im folgenden Beispiel wird eine Richtlinie abgerufen, die die Rolle networkmanagement.admin für mytest-1 an username@yourcompany.com bindet.

  GET https: //networkmanagement.googleapis.com/v1/{resource=projects/*/locations/global/connectivityTests/TEST_ID}:getIamPolicy
    {
      "version": "VERSION",
      "etag": "ETAG",
      "bindings": [{
        "role": "ROLE",
        "members": [
          "PRINCIPAL"
        ]
      }]
    }

Ersetzen Sie die folgenden Werte:

  • TEST_ID: die ID des Objekts "Konnektivitätstests" (Test), das Sie ausführen
  • VERSION: gibt das Format der Richtlinie an. Gültige Werte sind 0, 1 und 3. Bei jedem Vorgang, der sich auf bedingte Rollenbindungen auswirkt, muss die Version 3 angegeben werden.
  • ETAG: wird für eine optimistische Gleichzeitigkeitserkennung verwendet, mit der verhindert werden kann, dass sich gleichzeitige Aktualisierungen einer Richtlinie gegenseitig überschreiben (ein ETag ist z. B. BwWbrqiZFRs=).
  • ROLE: eine Rolle, die Hauptkonten zugewiesen wird (z. B. roles/networkmanagement.admin)
  • PRINCIPAL: gibt die Identitäten an, die Zugriff auf eine Google Cloud-Ressource anfordern, z. B. user:username@yourcompany.com. Eine Liste der Hauptkonten finden Sie in der API-Referenz zu IAM-Richtlinien.

Test IAM-Berechtigungen

Bei diesem Verfahren werden Berechtigungen zurückgegeben, die ein Nutzer oder Dienstkonto für eine Konnektivitätstests-Ressource hat.

API

Verwenden Sie die Methode networkmanagement.connectivitytests.testIamPermissions, um die einer TEST_ID zugewiesenen Berechtigungen zurückzugeben.

Im folgenden Beispiel wird geprüft, ob username@yourcompany.com die Berechtigung networkmanagement.connectivitytests.get für mytest-1 hat.

  POST https://networkmanagement.googleapis.com/v1/{resource=projects/*/locations/global/connectivityTests/TEST_ID}:testIamPermissions
    {
      "permissions": [
        "networkmanagement.connectivitytests.get"
      ]
    }

Ersetzen Sie TEST_ID durch die ID des ausgeführten Konnektivitätstests-Objekts (Test).

Nächste Schritte