Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) und Berechtigungen beschrieben, die für die Verwendung von Network Connectivity Center erforderlich sind.
Auf übergeordneter Ebene führen Sie diese Schritte aus:
- Vordefinierte Network Connectivity Center-Berechtigungen, die unter Vordefinierte Rollen beschrieben werden.
- Folgende zusätzliche Berechtigungen:
- Zum Erstellen von Spokes benötigen Sie die entsprechenden Spoke-Ressourcentypen, wie unter Spoke erstellen beschrieben.
- Damit Sie in der Google Cloud Console mit dem Network Connectivity Center arbeiten können, benötigen Sie die Berechtigung zum Aufrufen bestimmter VPC-Netzwerkressourcen (Virtual Private Cloud), wie unter Berechtigung zur Verwendung von Network Connectivity Center in der Google Cloud Console beschrieben.
Wenn Sie mit dem Network Connectivity Center in einem freigegebenen VPC-Netzwerk arbeiten müssen, benötigen Sie alle erforderlichen Berechtigungen im Hostprojekt. Ein Hub, seine Spokes und alle zugehörigen Ressourcen müssen sich in dem Host-Projekt befinden.
Informationen zum Gewähren von Berechtigungen finden Sie in der IAM-Übersicht.
Vordefinierte Rollen
In der folgenden Tabelle werden die vordefinierten Rollen für Network Connectivity Center beschrieben.
(
Service Automation Consumer Network Admin is responsible for setting up ServiceConnectionPolicies.
(
Enables use access on group resources
(
Enables full access to hub and spoke resources.
Lowest-level resources where you can grant this role:
(
Enables read-only access to hub and spoke resources.
Lowest-level resources where you can grant this role:
(
Full access to all Regional Endpoint resources.
(
Read-only access to all Regional Endpoint resources.
(
Grants the Network Connectivity API authority to read some networking resources. It does not mutate these resources.
(
Service Class User uses a ServiceClass
(
Service Automation Producer Admin uses information from a consumer request to manage ServiceClasses and ServiceConnectionMaps
(
Enables full access to spoke resources and read-only access to hub resources.
Lowest-level resources where you can grant this role:
Role
Permissions
Service Automation Consumer Network Admin
roles/
)
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
resourcemanager.projects.get
resourcemanager.projects.list
Group User
roles/
)
networkconnectivity.groups.use
Hub & Spoke Admin
roles/
)
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.groups.*
networkconnectivity.
networkconnectivity.
networkconnectivity.groups.get
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.groups.use
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.hubs.*
networkconnectivity.
networkconnectivity.
networkconnectivity.hubs.get
networkconnectivity.
networkconnectivity.hubs.list
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.spokes.*
networkconnectivity.
networkconnectivity.
networkconnectivity.spokes.get
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
resourcemanager.projects.get
resourcemanager.projects.list
Hub & Spoke Viewer
roles/
)
networkconnectivity.
networkconnectivity.
networkconnectivity.groups.get
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.hubs.get
networkconnectivity.
networkconnectivity.hubs.list
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.spokes.get
networkconnectivity.
networkconnectivity.
resourcemanager.projects.get
resourcemanager.projects.list
Regional Endpoint Admin
roles/
)
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
resourcemanager.projects.get
resourcemanager.projects.list
Regional Endpoint Viewer
roles/
)
networkconnectivity.
networkconnectivity.
resourcemanager.projects.get
resourcemanager.projects.list
Network Connectivity Service Agent
roles/
)
compute.addresses.create
compute.
compute.addresses.delete
compute.
compute.addresses.get
compute.addresses.setLabels
compute.addresses.use
compute.forwardingRules.create
compute.forwardingRules.delete
compute.forwardingRules.get
compute.
compute.
compute.
compute.
compute.
compute.
compute.instances.get
compute.
compute.networks.get
compute.networks.use
compute.projects.get
compute.regionOperations.get
compute.routers.get
compute.subnetworks.get
compute.
compute.subnetworks.list
compute.
compute.subnetworks.use
compute.vpnTunnels.get
dns.managedZones.create
dns.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
servicedirectory.
servicedirectory.
servicedirectory.
servicedirectory.
servicedirectory.
Service Class User
roles/
)
networkconnectivity.
networkconnectivity.
networkconnectivity.
resourcemanager.projects.get
resourcemanager.projects.list
Service Automation Service Producer Admin
roles/
)
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
resourcemanager.projects.get
resourcemanager.projects.list
Spoke Admin
roles/
)
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.hubs.get
networkconnectivity.
networkconnectivity.hubs.list
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.spokes.*
networkconnectivity.
networkconnectivity.
networkconnectivity.spokes.get
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
resourcemanager.projects.get
resourcemanager.projects.list
Zusätzliche erforderliche Berechtigungen
Abhängig davon, welche Aktionen Sie im Network Connectivity Center ausführen müssen, benötigen Sie möglicherweise Berechtigungen, wie in den folgenden Abschnitten beschrieben.
Berechtigung zum Erstellen eines Spokes
Für das Erstellen eines Spokes benötigen Sie die Berechtigung zum Lesen des Ressourcentyps des Spokes. Beispiel:
- Für VPN-Tunnel-Spokes, VLAN-Anhangs-Spokes und Router-Appliance-Spokes benötigen Sie
compute.routers.get
. - Zum Erstellen von Router-Appliance-Spokes benötigen Sie
compute.instances.get
. Bevor Sie einen Router-Appliance-Spoke verwenden können, müssen Sie auch das Peering zwischen dem Cloud Router und der Router-Appliance-Instanz einrichten. Zum Einrichten des Peerings benötigen Sie die folgenden Berechtigungen:compute.instances.use
compute.routers.update
- Zum Erstellen von Spokes für VLAN-Anhänge benötigen Sie
compute.interconnectAttachments.get
. - Zum Erstellen von VPN-Tunnel-Spokes benötigen Sie
compute.vpnTunnels.get
. Zum Erstellen von VPC-Spokes benötigen Sie die folgenden Berechtigungen:
compute.networks.use
compute.networks.get
Sie benötigen
networkconnectivity.groups.use
, um VPC-Spokes in einem anderen Projekt als dem Hub zu erstellen, mit dem es verknüpft ist.
Berechtigung zur Verwendung von Network Connectivity Center in der Google Cloud Console
Zur Verwendung von Network Connectivity Center in der Google Cloud Console benötigen Sie eine Rolle wie Compute-Netzwerkbetrachter (roles/compute.networkViewer
) mit den Berechtigungen, die in der folgenden Tabelle beschrieben sind. Wenn Sie diese Berechtigungen verwenden möchten, müssen Sie zuerst eine benutzerdefinierte Rolle erstellen.
Task |
Erforderliche Berechtigungen |
---|---|
Seite Network Connectivity Center aufrufen |
|
Auf die Seite Spokes zugreifen und verwenden |
|
Spoke für VLAN-Anhang hinzufügen |
|
VPN-Tunnel-Spoke hinzufügen |
|
Router-Appliance-Spoke hinzufügen |
|
VPC-Spoke hinzufügen |
|
Ressourcen mit VPC Service Controls schützen
Mit VPC Service Controls können Sie Ihre Network Connectivity Center-Ressourcen zusätzlich sichern.
VPC Service Controls bietet Ihre Ressourcen mit zusätzlicher Sicherheit, um das Risiko der Daten-Exfiltration zu verringern. Mithilfe von VPC Service Controls können Sie Network Connectivity Center-Ressourcen innerhalb von Dienstperimetern platzieren. VPC Service Controls schützt diese Ressourcen dann vor Anfragen, die von außerhalb des Perimeters stammen.
Weitere Informationen zu Dienstperimetern finden Sie in der Dokumentation zu VPC Service Controls auf der Konfigurationsseite für Dienstperimeter.
Nächste Schritte
Weitere Informationen zu Projektrollen und Google Cloud Ressourcen finden Sie in der folgenden Dokumentation:
- Informationen zu IAM-Rollen und -Berechtigungen finden Sie unter Zugriffssteuerung für Projekte mit IAM.
- Informationen zu Rollentypen finden Sie in der Referenz zu einfachen und vordefinierten Rollen von Identity and Access Management.
- Informationen zu vordefinierten Rollen finden Sie unter Compute Engine-IAM-Rollen und -Berechtigungen.
- Informationen zum Network Connectivity Center finden Sie unter Network Connectivity Center – Übersicht.
- Informationen zum Verwalten von Hubs und Spokes finden Sie unter Mit Hubs und Spokes arbeiten.