Rôles et autorisations

Cette page décrit les rôles et les autorisations IAM (Identity and Access Management) requis pour utiliser Network Connectivity Center.

En règle générale, vous procédez comme suit :

Si vous devez travailler avec Network Connectivity Center dans un réseau VPC partagé, vous devez disposer de toutes les autorisations nécessaires dans le projet hôte. Un hub, ses spokes et toutes les ressources associées doivent être dans le projet hôte.

Pour savoir comment accorder des autorisations, consultez la page Présentation d'IAM.

Rôles prédéfinis

Le tableau suivant décrit les rôles prédéfinis de Network Connectivity Center.

Role Permissions

(roles/networkconnectivity.consumerNetworkAdmin)

Service Automation Consumer Network Admin is responsible for setting up ServiceConnectionPolicies.

networkconnectivity.serviceConnectionPolicies.*

  • networkconnectivity.serviceConnectionPolicies.create
  • networkconnectivity.serviceConnectionPolicies.delete
  • networkconnectivity.serviceConnectionPolicies.get
  • networkconnectivity.serviceConnectionPolicies.list
  • networkconnectivity.serviceConnectionPolicies.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkconnectivity.groupUser)

Enables use access on group resources

networkconnectivity.groups.use

(roles/networkconnectivity.hubAdmin)

Enables full access to hub and spoke resources.

Lowest-level resources where you can grant this role:

  • Project

networkconnectivity.groups.*

  • networkconnectivity.groups.acceptSpoke
  • networkconnectivity.groups.get
  • networkconnectivity.groups.getIamPolicy
  • networkconnectivity.groups.list
  • networkconnectivity.groups.rejectSpoke
  • networkconnectivity.groups.setIamPolicy
  • networkconnectivity.groups.use

networkconnectivity.hubRouteTables.*

  • networkconnectivity.hubRouteTables.get
  • networkconnectivity.hubRouteTables.getIamPolicy
  • networkconnectivity.hubRouteTables.list
  • networkconnectivity.hubRouteTables.setIamPolicy

networkconnectivity.hubRoutes.*

  • networkconnectivity.hubRoutes.get
  • networkconnectivity.hubRoutes.getIamPolicy
  • networkconnectivity.hubRoutes.list
  • networkconnectivity.hubRoutes.setIamPolicy

networkconnectivity.hubs.*

  • networkconnectivity.hubs.create
  • networkconnectivity.hubs.delete
  • networkconnectivity.hubs.get
  • networkconnectivity.hubs.getIamPolicy
  • networkconnectivity.hubs.list
  • networkconnectivity.hubs.listSpokes
  • networkconnectivity.hubs.queryStatus
  • networkconnectivity.hubs.setIamPolicy
  • networkconnectivity.hubs.update

networkconnectivity.locations.*

  • networkconnectivity.locations.get
  • networkconnectivity.locations.list

networkconnectivity.operations.*

  • networkconnectivity.operations.cancel
  • networkconnectivity.operations.delete
  • networkconnectivity.operations.get
  • networkconnectivity.operations.list

networkconnectivity.spokes.*

  • networkconnectivity.spokes.create
  • networkconnectivity.spokes.delete
  • networkconnectivity.spokes.get
  • networkconnectivity.spokes.getIamPolicy
  • networkconnectivity.spokes.list
  • networkconnectivity.spokes.setIamPolicy
  • networkconnectivity.spokes.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkconnectivity.hubViewer)

Enables read-only access to hub and spoke resources.

Lowest-level resources where you can grant this role:

  • Project

networkconnectivity.groups.get

networkconnectivity.groups.getIamPolicy

networkconnectivity.groups.list

networkconnectivity.hubRouteTables.get

networkconnectivity.hubRouteTables.getIamPolicy

networkconnectivity.hubRouteTables.list

networkconnectivity.hubRoutes.get

networkconnectivity.hubRoutes.getIamPolicy

networkconnectivity.hubRoutes.list

networkconnectivity.hubs.get

networkconnectivity.hubs.getIamPolicy

networkconnectivity.hubs.list

networkconnectivity.hubs.listSpokes

networkconnectivity.hubs.queryStatus

networkconnectivity.locations.*

  • networkconnectivity.locations.get
  • networkconnectivity.locations.list

networkconnectivity.spokes.get

networkconnectivity.spokes.getIamPolicy

networkconnectivity.spokes.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkconnectivity.regionalEndpointAdmin)

Full access to all Regional Endpoint resources.

networkconnectivity.regionalEndpoints.*

  • networkconnectivity.regionalEndpoints.create
  • networkconnectivity.regionalEndpoints.delete
  • networkconnectivity.regionalEndpoints.get
  • networkconnectivity.regionalEndpoints.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkconnectivity.regionalEndpointViewer)

Read-only access to all Regional Endpoint resources.

networkconnectivity.regionalEndpoints.get

networkconnectivity.regionalEndpoints.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkconnectivity.serviceClassUser)

Service Class User uses a ServiceClass

networkconnectivity.serviceClasses.get

networkconnectivity.serviceClasses.list

networkconnectivity.serviceClasses.use

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkconnectivity.serviceProducerAdmin)

Service Automation Producer Admin uses information from a consumer request to manage ServiceClasses and ServiceConnectionMaps

networkconnectivity.operations.get

networkconnectivity.operations.list

networkconnectivity.serviceClasses.*

  • networkconnectivity.serviceClasses.create
  • networkconnectivity.serviceClasses.delete
  • networkconnectivity.serviceClasses.get
  • networkconnectivity.serviceClasses.list
  • networkconnectivity.serviceClasses.update
  • networkconnectivity.serviceClasses.use

networkconnectivity.serviceConnectionMaps.*

  • networkconnectivity.serviceConnectionMaps.create
  • networkconnectivity.serviceConnectionMaps.delete
  • networkconnectivity.serviceConnectionMaps.get
  • networkconnectivity.serviceConnectionMaps.list
  • networkconnectivity.serviceConnectionMaps.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/networkconnectivity.spokeAdmin)

Enables full access to spoke resources and read-only access to hub resources.

Lowest-level resources where you can grant this role:

  • Project

networkconnectivity.hubRouteTables.get

networkconnectivity.hubRouteTables.getIamPolicy

networkconnectivity.hubRouteTables.list

networkconnectivity.hubRoutes.get

networkconnectivity.hubRoutes.getIamPolicy

networkconnectivity.hubRoutes.list

networkconnectivity.hubs.get

networkconnectivity.hubs.getIamPolicy

networkconnectivity.hubs.list

networkconnectivity.locations.*

  • networkconnectivity.locations.get
  • networkconnectivity.locations.list

networkconnectivity.operations.get

networkconnectivity.operations.list

networkconnectivity.spokes.*

  • networkconnectivity.spokes.create
  • networkconnectivity.spokes.delete
  • networkconnectivity.spokes.get
  • networkconnectivity.spokes.getIamPolicy
  • networkconnectivity.spokes.list
  • networkconnectivity.spokes.setIamPolicy
  • networkconnectivity.spokes.update

resourcemanager.projects.get

resourcemanager.projects.list

Autorisations requises supplémentaires

Selon les actions à effectuer dans Network Connectivity Center, vous aurez peut-être besoin d'autorisations supplémentaires, comme décrit dans les sections suivantes.

Autorisation de créer un spoke

Pour créer un spoke, vous devez être autorisé à lire le type de ressource du spoke. Par exemple :

  • Pour les spokes de tunnel VPN, les spokes de rattachement de VLAN et d'appareil de routeur, vous avez besoin de compute.routers.get.
  • Pour créer des spokes d'appareil de routeur, vous avez besoin de compute.instances.get. En outre, avant de pouvoir utiliser un spoke d'appareil de routeur, vous devez configurer l'appairage entre le routeur cloud et l'instance d'appareil de routeur. Pour établir l'appairage, vous devez disposer des autorisations suivantes :
    • compute.instances.use
    • compute.routers.update
  • Pour créer des spokes de rattachement de VLAN, vous avez besoin de compute.interconnectAttachments.get.
  • Pour créer des spokes de tunnel VPN, vous avez besoin de compute.vpnTunnels.get.
  • Pour créer des spokes VPC, vous devez disposer des autorisations suivantes :

    • compute.networks.use
    • compute.networks.get
  • Pour créer des spokes VPC dans un projet différent du hub auquel ils sont associés, vous avez besoin de networkconnectivity.groups.use.

Autorisation d'utiliser Network Connectivity Center dans la console Google Cloud

Pour utiliser Network Connectivity Center dans la console Google Cloud, vous avez besoin d'un rôle, par exemple Lecteur de réseau Compute (roles/compute.networkViewer), qui inclut les autorisations décrites dans le tableau suivant. Pour utiliser ces autorisations, vous devez d'abord créer un rôle personnalisé.

Tâche

Autorisations requises

Accéder à la page Network Connectivity Center
  • compute.projects.get
  • compute.networks.get
Accéder à la page Ajouter des spokes et l'utiliser
  • compute.networks.list
  • compute.regions.list
  • compute.routers.list
  • compute.zones.list
  • compute.networks.get
Ajouter un spoke de rattachement de VLAN
  • compute.interconnectAttachments.list
  • compute.interconnectAttachments.get
  • compute.networks.get
  • compute.routers.list
  • compute.routers.get
Ajouter un spoke de tunnel VPN
  • compute.forwardingRules.list
  • compute.networks.get
  • compute.routers.get
  • compute.routers.list
  • compute.targetVpnGateways.list
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
Ajouter un spoke d'appareil de routeur
  • compute.instances.list
  • compute.instances.get
  • compute.networks.get
Ajouter un spoke VPC
  • compute.networks.use
  • compute.networks.get
  • compute.subnetworks.list

Protéger des ressources avec VPC Service Controls

Vous pouvez renforcer la sécurité des ressources Network Connectivity Center à l'aide de VPC Service Controls.

VPC Service Controls fournit des mesures de sécurité supplémentaires à vos ressources pour réduire le risque d'exfiltration de données. Il vous permet également de placer les ressources Network Connectivity Center dans des périmètres de service. VPC Service Controls protège ensuite ces ressources contre les requêtes provenant de l'extérieur du périmètre.

Pour en savoir plus sur les périmètres de service, consultez la page Configuration du périmètre de service dans la documentation de VPC Service Controls.

Étapes suivantes

Pour plus d'informations sur les rôles au niveau du projet et les ressources Google Cloud, consultez les documentations suivantes :