Se usó la API de Cloud Translation para traducir esta página.

Funciones y permisos

En esta página, se describen las funciones y los permisos de administración de identidades y accesos (IAM) necesarios para ejecutar las pruebas de conectividad.

Puedes otorgar permisos a usuarios o cuentas de servicio o funciones predefinidas, o puedes crear una función personalizada que use permisos que tú especifiques.

Los permisos de IAM usan un prefijo de networkmanagement.

Si quieres obtener o configurar políticas de IAM, o bien probar los permisos de IAM con la API de administración de red, consulta Administra el acceso.

Funciones

En esta sección, se describe cómo usar las funciones predefinidas y personalizadas cuando se otorgan permisos para pruebas de conectividad.

Para obtener una explicación de cada permiso, consulte la tabla de permisos.

Para obtener más información sobre las funciones de proyecto y los recursos de Google Cloud, consulta la siguiente documentación:

Funciones predefinidas

Las pruebas de conectividad tienen las siguientes funciones predefinidas:

networkmanagement.admin tiene permiso para realizar todas las operaciones en un recurso de prueba.
networkmanagement.viewer tiene permiso para enumerar u obtener un recurso de prueba específico.

En la siguiente tabla, se enumeran las funciones predefinidas y los permisos que se aplican a cada función.

Role Permissions

Role	Permissions
Network Management Admin (`roles/networkmanagement.admin`) Full access to Network Management resources. Lowest-level resources where you can grant this role: Project	`networkmanagement.*` `networkmanagement.connectivitytests.create` `networkmanagement.connectivitytests.delete` `networkmanagement.connectivitytests.get` `networkmanagement.connectivitytests.getIamPolicy` `networkmanagement.connectivitytests.list` `networkmanagement.connectivitytests.rerun` `networkmanagement.connectivitytests.setIamPolicy` `networkmanagement.connectivitytests.update` `networkmanagement.locations.get` `networkmanagement.locations.list` `networkmanagement.operations.cancel` `networkmanagement.operations.delete` `networkmanagement.operations.get` `networkmanagement.operations.list` `networkmanagement.vpcflowlogsconfigs.create` `networkmanagement.vpcflowlogsconfigs.delete` `networkmanagement.vpcflowlogsconfigs.get` `networkmanagement.vpcflowlogsconfigs.list` `networkmanagement.vpcflowlogsconfigs.update` `resourcemanager.organizations.get` `resourcemanager.projects.get` `resourcemanager.projects.list`
Network Management Viewer (`roles/networkmanagement.viewer`) Read-only access to Network Management resources. Lowest-level resources where you can grant this role: Project	`networkmanagement.connectivitytests.get` `networkmanagement.connectivitytests.getIamPolicy` `networkmanagement.connectivitytests.list` `networkmanagement.locations.*` `networkmanagement.locations.get` `networkmanagement.locations.list` `networkmanagement.operations.get` `networkmanagement.operations.list` `networkmanagement.vpcflowlogsconfigs.get` `networkmanagement.vpcflowlogsconfigs.list` `resourcemanager.organizations.get` `resourcemanager.projects.get` `resourcemanager.projects.list`

Network Management Admin

(roles/networkmanagement.admin)

Full access to Network Management resources.

Lowest-level resources where you can grant this role:

Project

networkmanagement.*

networkmanagement.connectivitytests.create
networkmanagement.connectivitytests.delete
networkmanagement.connectivitytests.get
networkmanagement.connectivitytests.getIamPolicy
networkmanagement.connectivitytests.list
networkmanagement.connectivitytests.rerun
networkmanagement.connectivitytests.setIamPolicy
networkmanagement.connectivitytests.update
networkmanagement.locations.get
networkmanagement.locations.list
networkmanagement.operations.cancel
networkmanagement.operations.delete
networkmanagement.operations.get
networkmanagement.operations.list
networkmanagement.vpcflowlogsconfigs.create
networkmanagement.vpcflowlogsconfigs.delete
networkmanagement.vpcflowlogsconfigs.get
networkmanagement.vpcflowlogsconfigs.list
networkmanagement.vpcflowlogsconfigs.update

resourcemanager.organizations.get

resourcemanager.projects.get

resourcemanager.projects.list

Network Management Viewer

(roles/networkmanagement.viewer)

Read-only access to Network Management resources.

Lowest-level resources where you can grant this role:

Project

networkmanagement.connectivitytests.get

networkmanagement.connectivitytests.getIamPolicy

networkmanagement.connectivitytests.list

networkmanagement.locations.*

networkmanagement.locations.get
networkmanagement.locations.list

networkmanagement.operations.get

networkmanagement.operations.list

networkmanagement.vpcflowlogsconfigs.get

networkmanagement.vpcflowlogsconfigs.list

resourcemanager.organizations.get

resourcemanager.projects.get

resourcemanager.projects.list

Funciones personalizadas

A fin de crear funciones personalizadas, selecciona una lista de permisos en la tabla de permisos para pruebas de conectividad.

Por ejemplo, puedes crear una función llamada reachabilityUsers y otorgar los permisos list, get y rerun a esta función. Un usuario con esta función puede volver a ejecutar las pruebas de conectividad existentes y ver los resultados de la prueba actualizados en función de la configuración de red más reciente.

Funciones de proyecto

Puedes usar funciones de proyecto para establecer permisos para los recursos de Google Cloud. Debido a que las pruebas de conectividad deben tener acceso de lectura a las configuraciones de recursos de Google Cloud en tu red de nube privada virtual (red de VPC) para ejecutar una prueba, debes otorgar al menos la función de visualizador de red de Compute (roles/compute.networkViewer) a usuarios o cuentas de servicio que ejecutan una prueba en esos recursos. También puedes crear una función personalizada o autorizar de manera temporal los permisos asociados con la función anterior para un usuario específico.

Como alternativa, puedes otorgar a un usuario o una cuenta de servicio una de las siguientes funciones predefinidas para los proyectos de Google Cloud:

project.viewer tiene todos los permisos de una función networkmanagement.viewer.
project.editor o project.owner tiene todos los permisos de la función networkmanagement.admin.

Permisos

En esta sección, se describen los permisos para las pruebas de conectividad y cómo usarlos cuando se prueban diferentes tipos de configuraciones de red.

Permisos de pruebas de conectividad

Las pruebas de conectividad tienen los siguientes permisos de IAM.

Permiso	Descripción
`networkmanagement.connectivitytests.list`	Enumera todas las pruebas configuradas en el proyecto especificado.
`networkmanagement.connectivitytests.get`	Obtiene los detalles de una prueba específica.
`networkmanagement.connectivitytests.create`	Crea un objeto de prueba nuevo en el proyecto especificado con los datos que especificas para la prueba. Este permiso incluye permiso para actualizar, volver a ejecutar o borrar pruebas.
`networkmanagement.connectivitytests.update`	Actualiza uno o más campos en una prueba existente.
`networkmanagement.connectivitytests.delete`	Borra la prueba especificada.
`networkmanagement.connectivitytests.rerun`	Vuelve a ejecutar una verificación de accesibilidad única para una prueba especificada.

Si no tienes permiso para crear o actualizar una prueba, los botones correspondientes estarán inactivos. Estos incluyen el botón Crear prueba de conectividad y, en la página Detalles de la prueba de conectividad, el botón Editar. En cada caso, cuando colocas el puntero sobre el botón inactivo, las pruebas de conectividad muestran un mensaje en el que se describe el permiso que necesitas.

Permisos para ejecutar una prueba

Necesitas los siguientes roles y permisos para ejecutar una prueba:

Permiso networkmanagement.connectivitytests.create (o networkmanagement.connectivitytests.rerun) en un proyecto con un recurso de pruebas de conectividad
Rol de visualizador de red de Compute (roles/compute.networkViewer) o el rol de visualizador (roles/viewer) heredado a todos los proyectos incluidos en la ruta de seguimiento.

Ten en cuenta las siguientes consideraciones adicionales con los diferentes tipos de opciones de conectividad.

Intercambio de tráfico entre redes de VPC, Network Connectivity Center o conectividad de Cloud VPN

Si la ruta de seguimiento incluye el intercambio de tráfico entre redes de VPC, Network Connectivity Center o la conectividad de Cloud VPN a una red en un proyecto diferente, se simula una ruta de paquete en esa red solo si tienes permisos para ese proyecto. De lo contrario, se muestra un resultado de prueba incompleto (por ejemplo, un seguimiento que finaliza con el estado final Forward).

Proyectos de VPC compartida

Si un extremo de origen o destino (como una instancia de máquina virtual [VM]) usa una VPC compartida, debes tener permiso para acceder a los proyectos de host y de servicio.

Si tienes permiso para acceder a los proyectos host y de servicio, la información del registro incluye detalles sobre todos los recursos relevantes.
Si no tienes permiso para acceder a uno de los proyectos, la información sobre los recursos definidos en este proyecto se oculta en el seguimiento. Se muestra un error de permiso.

Ejemplos

Tienes acceso al proyecto de instancia de VM (proyecto de servicio), pero no tienes acceso a su proyecto de red (proyecto host). Si ejecutas una prueba con esta instancia de VM como fuente (especificada por el nombre), se ocultan los pasos asociados con el proyecto host (por ejemplo, la aplicación de firewalls o rutas).
Tienes acceso al proyecto de red (proyecto host), pero no tienes acceso al proyecto de VM (proyecto de servicio). Si ejecutas una prueba con esta instancia de VM como fuente (especificada por su dirección IP), se ocultan los pasos asociados con el proyecto de servicio, por ejemplo, un paso con los detalles de la instancia de VM.

Servicios publicados de Private Service Connect

Si el paquete va al servicio publicado de Private Service Connect (a través de un extremo de Private Service Connect o el backend de Private Service Connect), la parte del seguimiento en el proyecto del productor solo se muestra si tienes acceso a ella. De lo contrario, el seguimiento finaliza con un estado final general, como Paquete entregado al proyecto de productor de PSC o Paquete descartado dentro del proyecto de productor de PSC.

Servicios administrados por Google

Si el paquete va hacia o desde la red administrada por Google asociada con un servicio administrado por Google (como Cloud SQL), no se muestran los pasos dentro del proyecto administrado por Google. Se muestra un paso inicial general o un paso final.

Direcciones IP públicas de los recursos de Google Cloud

Si especificas una dirección IP pública asignada a un recurso en uno de tus proyectos como fuente o destino de prueba, pero no tienes permisos para el proyecto en el que se define el recurso con esta dirección, esta dirección IP se considera una dirección IP de Internet. No se muestran detalles sobre el recurso subyacente ni la ruta de acceso del paquete después de llegar a este recurso.

Permisos para ver los resultados de la prueba

Para ver los resultados de la prueba, ten en cuenta lo siguiente:

Para ver los resultados de las pruebas creadas o actualizadas después de octubre de 2024, solo necesitas el permiso para ver el recurso de prueba (networkmanagement.connectivitytests.get). No necesitas permisos para los recursos y proyectos incluidos en la ruta de seguimiento.
Para ver los resultados de las pruebas ejecutadas antes de octubre de 2024, debes tener el rol de Visualizador de red de Compute o el rol de Visualizador (roles/viewer) heredado para todos los proyectos incluidos en la ruta de seguimiento.

Políticas jerárquicas de firewall

Es posible que tu seguimiento incluya una política de firewall jerárquica que no tienes permiso para ver. Sin embargo, aunque no tengas permiso para ver los detalles de la política, puedes ver las reglas de la política que se aplican a la red de VPC. Para obtener más detalles, consulta Funciones de IAM en la descripción general "Políticas de firewall jerárquicas".