Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) und Berechtigungen beschrieben, die zum Ausführen von Konnektivitätstests erforderlich sind.
Sie können Nutzern oder Dienstkonten Berechtigungen oder vordefinierte Rollen gewähren oder eine benutzerdefinierte Rolle mit den von Ihnen angegebenen Berechtigungen erstellen.
Die IAM-Berechtigungen verwenden das Präfix networkmanagement
.
Informationen zum Abrufen oder Festlegen von IAM-Richtlinien oder zum Testen von IAM-Berechtigungen mit der Network Management API finden Sie unter Zugriffsrichtlinien verwalten.
Rollen
In diesem Abschnitt wird beschrieben, wie Sie vor- und benutzerdefinierte Rollen beim Gewähren von Berechtigungen für Konnektivitätstests verwenden.
Eine Erläuterung der einzelnen Berechtigungen finden Sie in der Berechtigungstabelle.
Weitere Informationen zu Projektrollen und Google Cloud-Ressourcen finden Sie in der folgenden Dokumentation:
- Dokumentation zu Resource Manager
- Dokumentation zur Identitäts- und Zugriffsverwaltung
- Compute Engine-Dokumentation mit einer Beschreibung der Zugriffssteuerung
Vordefinierte Rollen
Konnektivitätstests haben die folgenden vordefinierten Rollen:
networkmanagement.admin
: hat die Berechtigung, alle Vorgänge für eine Testressource auszuführennetworkmanagement.viewer
: hat die Berechtigung, eine bestimmte Testressource aufzulisten oder abzurufen
Die folgende Tabelle enthält die vordefinierten Rollen und die Berechtigungen, die für die einzelnen Rollen gelten.
Role | Permissions |
---|---|
Network Management Admin( Full access to Network Management resources. Lowest-level resources where you can grant this role:
|
|
Network Management Viewer( Read-only access to Network Management resources. Lowest-level resources where you can grant this role:
|
|
Benutzerdefinierte Rollen
Sie können benutzerdefinierte Rollen erstellen, indem Sie eine Liste der Berechtigungen aus der Berechtigungstabelle für Konnektivitätstests auswählen.
Sie können beispielsweise eine Rolle mit dem Namen reachabilityUsers
erstellen und dieser Rolle die Berechtigungen list
, get
und rerun
zuweisen. Ein Nutzer mit dieser Rolle kann vorhandene Konnektivitätstests noch einmal ausführen und anhand der aktuellen Netzwerkkonfiguration aktualisierte Testergebnisse aufrufen.
Projektrollen
Sie können Projektrollen verwenden, um Berechtigungen für Google Cloud-Ressourcen festzulegen.
Da Konnektivitätstests Lesezugriff auf die Google Cloud-Ressourcenkonfigurationen in Ihrem VPC-Netzwerk (Virtual Private Cloud) haben müssen, benötigen Nutzer oder Dienstkonten mindestens die Rolle des Compute-Netzwerkbetrachters (roles/compute.networkViewer
), um einen Test für diese Ressourcen auszuführen. Sie können auch eine benutzerdefinierte Rolle erstellen oder vorübergehend Berechtigungen autorisieren, die der vorherigen Rolle für einen bestimmten Nutzer zugeordnet sind.
Alternativ können Sie einem Nutzer oder Dienstkonto eine der folgenden vordefinierten Rollen für Google Cloud-Projekte zuweisen:
project.viewer
: verfügt über alle Berechtigungen einernetworkmanagement.viewer
-Rolleproject.editor
oderproject.owner
: verfügt über alle Berechtigungen der Rollenetworkmanagement.admin
Berechtigungen
In diesem Abschnitt werden Berechtigungen für Konnektivitätstests und ihre Verwendung beim Testen verschiedener Typen von Netzwerkkonfigurationen erläutert.
Berechtigungen für Konnektivitätstests
Konnektivitätstests haben die folgenden IAM-Berechtigungen.
Berechtigung | Beschreibung |
---|---|
networkmanagement.connectivitytests.list |
Listet alle Tests auf, die im angegebenen Projekt konfiguriert wurden |
networkmanagement.connectivitytests.get |
Ruft die Details eines bestimmten Tests ab |
networkmanagement.connectivitytests.create |
Erstellt ein neues Testobjekt im angegebenen Projekt mit den Daten, die Sie für den Test angeben. Diese Berechtigung beinhaltet die Berechtigung, Tests zu aktualisieren, noch einmal auszuführen oder zu löschen. |
networkmanagement.connectivitytests.update |
Aktualisiert ein oder mehrere Felder in einem vorhandenen Test |
networkmanagement.connectivitytests.delete |
Löscht den angegebenen Test |
networkmanagement.connectivitytests.rerun |
Führt eine einmalige Überprüfung der Erreichbarkeit für einen bestimmten Test noch einmal aus |
Wenn Sie keine Berechtigung zum Erstellen oder Aktualisieren eines Tests haben, sind die entsprechenden Schaltflächen inaktiv. Dazu gehören die Schaltfläche Konnektivitätstest erstellen und auf der Seite Verbindungstestdetails die Schaltfläche Bearbeiten. Wenn Sie den Mauszeiger auf die inaktive Schaltfläche bewegen, wird in beiden Fällen eine Nachricht mit einer Beschreibung der erforderlichen Berechtigung angezeigt.
Berechtigungen zum Ausführen eines Tests
Sie benötigen die folgenden Rollen und Berechtigungen, um einen Test auszuführen:
- Berechtigung
networkmanagement.connectivitytests.create
(odernetworkmanagement.connectivitytests.rerun
) in einem Projekt mit einer Konnektivitätstestressource - Rolle „Compute-Netzwerkbetrachter“ (
roles/compute.networkViewer
) oder die Legacy-Rolle Rolle „Betrachter“ (roles/viewer
) für alle Projekte im Trace-Pfad
Beachten Sie die folgenden zusätzlichen Hinweise zu den verschiedenen Arten von Konnektivitätsoptionen.
VPC-Netzwerk-Peering, Network Connectivity Center oder Cloud VPN-Verbindung
Wenn der Pfad der Paketverfolgung VPC-Netzwerk-Peering, Network Connectivity Center oder eine Cloud VPN-Verbindung zu einem Netzwerk in einem anderen Projekt umfasst, wird ein Paketpfad in diesem Netzwerk nur simuliert, wenn Sie Berechtigungen für dieses Projekt haben. Andernfalls wird ein unvollständiges Testergebnis zurückgegeben (z. B. ein Trace, der mit dem endgültigen Status Vorwärts endet).
Freigegebene VPC-Projekte
Wenn für einen Quell- oder Zielendpunkt (z. B. eine VM-Instanz) eine freigegebene VPC verwendet wird, müssen Sie sowohl auf das Host- als auch auf das Dienstprojekt zugreifen können.
- Wenn Sie sowohl auf das Host- als auch auf das Dienstprojekt zugreifen dürfen, enthalten die Informationen zur Fehlerbehebung Details zu allen relevanten Ressourcen.
- Wenn Sie nicht berechtigt sind, auf eines der Projekte zuzugreifen, werden Informationen zu in diesem Projekt definierten Ressourcen im Trace ausgeblendet. Es wird ein Berechtigungsfehler angezeigt.
Beispiele
Sie haben Zugriff auf das Projekt der VM-Instanz (Dienstprojekt), aber keinen Zugriff auf das zugehörige Netzwerkprojekt (Hostprojekt). Wenn Sie einen Test mit dieser VM-Instanz als Quelle ausführen (anhand des Namens angegeben), werden alle Schritte, die mit dem Hostprojekt verknüpft sind (z. B. das Anwenden von Firewalls oder Routen), ausgeblendet.
Sie haben Zugriff auf das Netzwerkprojekt (Hostprojekt), aber keinen Zugriff auf das VM-Projekt (Dienstprojekt). Wenn Sie einen Test mit dieser VM-Instanz als Quelle (angegeben durch ihre IP-Adresse) ausführen, werden alle Schritte, die mit dem Dienstprojekt verknüpft sind, ausgeblendet, z. B. ein Schritt mit den VM-Instanzdetails.
Veröffentlichte Private Service Connect-Dienste
Wenn das Paket an den über Private Service Connect veröffentlichten Dienst weitergeleitet wird (über einen Private Service Connect-Endpunkt oder ein Private Service Connect-Back-End), wird der Teil der Trace im Producer-Projekt nur angezeigt, wenn Sie darauf zugreifen können. Andernfalls endet die Trace mit einem allgemeinen Endzustand wie Paket an das PSC-Produzentenprojekt gesendet oder Paket im PSC-Produzentenprojekt verworfen.
Von Google verwaltete Dienste
Wenn das Paket an das oder von dem von Google verwalteten Netzwerk gesendet wird, das mit einem von Google verwalteten Dienst wie Cloud SQL verknüpft ist, werden die Schritte im von Google verwalteten Projekt nicht angezeigt. Ein allgemeiner Anfangsschritt oder ein abschließender Schritt wird angezeigt.
Öffentliche IP-Adressen von Google Cloud-Ressourcen
Wenn Sie eine öffentliche IP-Adresse angeben, die einer Ressource in einem Ihrer Projekte als Testquelle oder ‑ziel zugewiesen ist, Sie aber keine Berechtigungen für das Projekt haben, in dem die Ressource mit dieser Adresse definiert ist, wird diese IP-Adresse als Internet-IP-Adresse betrachtet. Details zur zugrunde liegenden Ressource oder zum Paketpfad nach Erreichen dieser Ressource werden nicht angezeigt.
Berechtigungen zum Aufrufen von Testergebnissen
Beachten Sie Folgendes, wenn Sie die Testergebnisse aufrufen möchten:
- Wenn Sie die Ergebnisse von Tests aufrufen möchten, die nach Oktober 2024 erstellt oder aktualisiert wurden, benötigen Sie nur die Berechtigung zum Ansehen der Testressource (
networkmanagement.connectivitytests.get
). Sie benötigen keine Berechtigungen für die im Trace-Pfad enthaltenen Ressourcen und Projekte. - Wenn Sie sich die Ergebnisse von vor Oktober 2024 durchgeführten Tests ansehen möchten, benötigen Sie die Rolle Compute-Netzwerkbetrachter oder die Legacy-Rolle Betrachter (
roles/viewer
) für alle Projekte im Trace-Pfad.
Hierarchische Firewallrichtlinien
Ihr Trace kann eine hierarchische Firewallrichtlinie enthalten, für die Sie keine Aufrufberechtigung haben. Es werden aber, auch wenn Sie nicht dazu berechtigt sind, die Richtliniendetails aufzurufen, nach wie vor die Richtlinienregeln für Ihr VPC-Netzwerk angezeigt. Weitere Informationen finden Sie unter IAM-Rollen in der Übersicht „Hierarchische Firewallrichtlinien“.
Nächste Schritte
- Zugriffsrichtlinien verwalten
- Weitere Informationen zu Konnektivitätstests
- Konnektivitätstests erstellen und ausführen
- Fehlerbehebung bei Konnektivitätstests