Rollen und Berechtigungen

Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) und Berechtigungen beschrieben, die zum Ausführen von Konnektivitätstests erforderlich sind.

Sie können Nutzern oder Dienstkonten Berechtigungen oder vordefinierte Rollen gewähren oder eine benutzerdefinierte Rolle mit den von Ihnen angegebenen Berechtigungen erstellen.

Die IAM-Berechtigungen verwenden das Präfix networkmanagement.

Informationen zum Abrufen oder Festlegen von IAM-Richtlinien oder zum Testen von IAM-Berechtigungen mit der Network Management API finden Sie unter Zugriffsrichtlinien verwalten.

Rollen

In diesem Abschnitt wird beschrieben, wie Sie vor- und benutzerdefinierte Rollen beim Gewähren von Berechtigungen für Konnektivitätstests verwenden.

Eine Erläuterung der einzelnen Berechtigungen finden Sie in der Berechtigungstabelle.

Weitere Informationen zu Projektrollen und Google Cloud-Ressourcen finden Sie in der folgenden Dokumentation:

Vordefinierte Rollen

Konnektivitätstests haben die folgenden vordefinierten Rollen:

  • networkmanagement.admin: hat die Berechtigung, alle Vorgänge für eine Testressource auszuführen
  • networkmanagement.viewer: hat die Berechtigung, eine bestimmte Testressource aufzulisten oder abzurufen

Die folgende Tabelle enthält die vordefinierten Rollen und die Berechtigungen, die für die einzelnen Rollen gelten.

Role Permissions

(roles/networkmanagement.admin)

Full access to Network Management resources.

Lowest-level resources where you can grant this role:

  • Project

networkmanagement.*

  • networkmanagement.connectivitytests.create
  • networkmanagement.connectivitytests.delete
  • networkmanagement.connectivitytests.get
  • networkmanagement.connectivitytests.getIamPolicy
  • networkmanagement.connectivitytests.list
  • networkmanagement.connectivitytests.rerun
  • networkmanagement.connectivitytests.setIamPolicy
  • networkmanagement.connectivitytests.update
  • networkmanagement.locations.get
  • networkmanagement.locations.list
  • networkmanagement.operations.cancel
  • networkmanagement.operations.delete
  • networkmanagement.operations.get
  • networkmanagement.operations.list
  • networkmanagement.vpcflowlogsconfigs.create
  • networkmanagement.vpcflowlogsconfigs.delete
  • networkmanagement.vpcflowlogsconfigs.get
  • networkmanagement.vpcflowlogsconfigs.list
  • networkmanagement.vpcflowlogsconfigs.update

resourcemanager.organizations.get

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkmanagement.viewer)

Read-only access to Network Management resources.

Lowest-level resources where you can grant this role:

  • Project

networkmanagement.connectivitytests.get

networkmanagement.connectivitytests.getIamPolicy

networkmanagement.connectivitytests.list

networkmanagement.locations.*

  • networkmanagement.locations.get
  • networkmanagement.locations.list

networkmanagement.operations.get

networkmanagement.operations.list

networkmanagement.vpcflowlogsconfigs.get

networkmanagement.vpcflowlogsconfigs.list

resourcemanager.organizations.get

resourcemanager.projects.get

resourcemanager.projects.list

Benutzerdefinierte Rollen

Sie können benutzerdefinierte Rollen erstellen, indem Sie eine Liste der Berechtigungen aus der Berechtigungstabelle für Konnektivitätstests auswählen.

Sie können beispielsweise eine Rolle mit dem Namen reachabilityUsers erstellen und dieser Rolle die Berechtigungen list, get und rerun zuweisen. Ein Nutzer mit dieser Rolle kann vorhandene Konnektivitätstests noch einmal ausführen und anhand der aktuellen Netzwerkkonfiguration aktualisierte Testergebnisse aufrufen.

Projektrollen

Sie können Projektrollen verwenden, um Berechtigungen für Google Cloud-Ressourcen festzulegen. Da Konnektivitätstests Lesezugriff auf die Google Cloud-Ressourcenkonfigurationen in Ihrem VPC-Netzwerk (Virtual Private Cloud) haben müssen, benötigen Nutzer oder Dienstkonten mindestens die Rolle des Compute-Netzwerkbetrachters (roles/compute.networkViewer), um einen Test für diese Ressourcen auszuführen. Sie können auch eine benutzerdefinierte Rolle erstellen oder vorübergehend Berechtigungen autorisieren, die der vorherigen Rolle für einen bestimmten Nutzer zugeordnet sind.

Alternativ können Sie einem Nutzer oder Dienstkonto eine der folgenden vordefinierten Rollen für Google Cloud-Projekte zuweisen:

Berechtigungen

In diesem Abschnitt werden Berechtigungen für Konnektivitätstests und ihre Verwendung beim Testen verschiedener Typen von Netzwerkkonfigurationen erläutert.

Berechtigungen für Konnektivitätstests

Konnektivitätstests haben die folgenden IAM-Berechtigungen.

Berechtigung Beschreibung
networkmanagement.connectivitytests.list Listet alle Tests auf, die im angegebenen Projekt konfiguriert wurden
networkmanagement.connectivitytests.get Ruft die Details eines bestimmten Tests ab
networkmanagement.connectivitytests.create Erstellt ein neues Testobjekt im angegebenen Projekt mit den Daten, die Sie für den Test angeben. Diese Berechtigung beinhaltet die Berechtigung, Tests zu aktualisieren, noch einmal auszuführen oder zu löschen.
networkmanagement.connectivitytests.update Aktualisiert ein oder mehrere Felder in einem vorhandenen Test
networkmanagement.connectivitytests.delete Löscht den angegebenen Test
networkmanagement.connectivitytests.rerun Führt eine einmalige Überprüfung der Erreichbarkeit für einen bestimmten Test noch einmal aus

Wenn Sie keine Berechtigung zum Erstellen oder Aktualisieren eines Tests haben, sind die entsprechenden Schaltflächen inaktiv. Dazu gehören die Schaltfläche Konnektivitätstest erstellen und auf der Seite Verbindungstestdetails die Schaltfläche Bearbeiten. Wenn Sie den Mauszeiger auf die inaktive Schaltfläche bewegen, wird in beiden Fällen eine Nachricht mit einer Beschreibung der erforderlichen Berechtigung angezeigt.

Berechtigungen zum Ausführen eines Tests

Sie benötigen die folgenden Rollen und Berechtigungen, um einen Test auszuführen:

  • Berechtigung networkmanagement.connectivitytests.create (oder networkmanagement.connectivitytests.rerun) in einem Projekt mit einer Konnektivitätstestressource
  • Rolle „Compute-Netzwerkbetrachter“ (roles/compute.networkViewer) oder die Legacy-Rolle Rolle „Betrachter“ (roles/viewer) für alle Projekte im Trace-Pfad

Beachten Sie die folgenden zusätzlichen Hinweise zu den verschiedenen Arten von Konnektivitätsoptionen.

VPC-Netzwerk-Peering, Network Connectivity Center oder Cloud VPN-Verbindung

Wenn der Pfad der Paketverfolgung VPC-Netzwerk-Peering, Network Connectivity Center oder eine Cloud VPN-Verbindung zu einem Netzwerk in einem anderen Projekt umfasst, wird ein Paketpfad in diesem Netzwerk nur simuliert, wenn Sie Berechtigungen für dieses Projekt haben. Andernfalls wird ein unvollständiges Testergebnis zurückgegeben (z. B. ein Trace, der mit dem endgültigen Status Vorwärts endet).

Freigegebene VPC-Projekte

Wenn für einen Quell- oder Zielendpunkt (z. B. eine VM-Instanz) eine freigegebene VPC verwendet wird, müssen Sie sowohl auf das Host- als auch auf das Dienstprojekt zugreifen können.

  • Wenn Sie sowohl auf das Host- als auch auf das Dienstprojekt zugreifen dürfen, enthalten die Informationen zur Fehlerbehebung Details zu allen relevanten Ressourcen.
  • Wenn Sie nicht berechtigt sind, auf eines der Projekte zuzugreifen, werden Informationen zu in diesem Projekt definierten Ressourcen im Trace ausgeblendet. Es wird ein Berechtigungsfehler angezeigt.
Beispiele
  • Sie haben Zugriff auf das Projekt der VM-Instanz (Dienstprojekt), aber keinen Zugriff auf das zugehörige Netzwerkprojekt (Hostprojekt). Wenn Sie einen Test mit dieser VM-Instanz als Quelle ausführen (anhand des Namens angegeben), werden alle Schritte, die mit dem Hostprojekt verknüpft sind (z. B. das Anwenden von Firewalls oder Routen), ausgeblendet.

  • Sie haben Zugriff auf das Netzwerkprojekt (Hostprojekt), aber keinen Zugriff auf das VM-Projekt (Dienstprojekt). Wenn Sie einen Test mit dieser VM-Instanz als Quelle (angegeben durch ihre IP-Adresse) ausführen, werden alle Schritte, die mit dem Dienstprojekt verknüpft sind, ausgeblendet, z. B. ein Schritt mit den VM-Instanzdetails.

Veröffentlichte Private Service Connect-Dienste

Wenn das Paket an den über Private Service Connect veröffentlichten Dienst weitergeleitet wird (über einen Private Service Connect-Endpunkt oder ein Private Service Connect-Back-End), wird der Teil der Trace im Producer-Projekt nur angezeigt, wenn Sie darauf zugreifen können. Andernfalls endet die Trace mit einem allgemeinen Endzustand wie Paket an das PSC-Produzentenprojekt gesendet oder Paket im PSC-Produzentenprojekt verworfen.

Von Google verwaltete Dienste

Wenn das Paket an das oder von dem von Google verwalteten Netzwerk gesendet wird, das mit einem von Google verwalteten Dienst wie Cloud SQL verknüpft ist, werden die Schritte im von Google verwalteten Projekt nicht angezeigt. Ein allgemeiner Anfangsschritt oder ein abschließender Schritt wird angezeigt.

Öffentliche IP-Adressen von Google Cloud-Ressourcen

Wenn Sie eine öffentliche IP-Adresse angeben, die einer Ressource in einem Ihrer Projekte als Testquelle oder ‑ziel zugewiesen ist, Sie aber keine Berechtigungen für das Projekt haben, in dem die Ressource mit dieser Adresse definiert ist, wird diese IP-Adresse als Internet-IP-Adresse betrachtet. Details zur zugrunde liegenden Ressource oder zum Paketpfad nach Erreichen dieser Ressource werden nicht angezeigt.

Berechtigungen zum Aufrufen von Testergebnissen

Beachten Sie Folgendes, wenn Sie die Testergebnisse aufrufen möchten:

  • Wenn Sie die Ergebnisse von Tests aufrufen möchten, die nach Oktober 2024 erstellt oder aktualisiert wurden, benötigen Sie nur die Berechtigung zum Ansehen der Testressource (networkmanagement.connectivitytests.get). Sie benötigen keine Berechtigungen für die im Trace-Pfad enthaltenen Ressourcen und Projekte.
  • Wenn Sie sich die Ergebnisse von vor Oktober 2024 durchgeführten Tests ansehen möchten, benötigen Sie die Rolle Compute-Netzwerkbetrachter oder die Legacy-Rolle Betrachter (roles/viewer) für alle Projekte im Trace-Pfad.

Hierarchische Firewallrichtlinien

Ihr Trace kann eine hierarchische Firewallrichtlinie enthalten, für die Sie keine Aufrufberechtigung haben. Es werden aber, auch wenn Sie nicht dazu berechtigt sind, die Richtliniendetails aufzurufen, nach wie vor die Richtlinienregeln für Ihr VPC-Netzwerk angezeigt. Weitere Informationen finden Sie unter IAM-Rollen in der Übersicht „Hierarchische Firewallrichtlinien“.

Nächste Schritte