Cette page décrit les rôles et les autorisations IAM (Identity and Access Management) requis pour utiliser Network Connectivity Center.
En règle générale, vous procédez comme suit :
- Autorisations prédéfinies de Network Connectivity Center, qui sont décrites dans la section Rôles prédéfinis.
- Autorisations supplémentaires suivantes :
- Pour créer des spokes, vous devez obtenir l'autorisation de lire les types de ressources de spoke pertinents, comme décrit dans la section Autorisation de créer un spoke
- Pour utiliser Network Connectivity Center dans la console Google Cloud, vous devez disposer de l'autorisation d'afficher certaines ressources réseau de cloud privé virtuel (VPC), comme décrit dans la section Autorisation d'utiliser Network Connectivity Center dans la console Google Cloud
Si vous devez travailler avec Network Connectivity Center dans un réseau VPC partagé, vous devez disposer de toutes les autorisations nécessaires dans le projet hôte. Un hub, ses spokes et toutes les ressources associées doivent être dans le projet hôte.
Pour savoir comment accorder des autorisations, consultez la page Présentation d'IAM.
Rôles prédéfinis
Le tableau suivant décrit les rôles prédéfinis de Network Connectivity Center.
Role | Permissions |
---|---|
Service Automation Consumer Network Admin( Service Automation Consumer Network Admin is responsible for setting up ServiceConnectionPolicies. |
|
Group User( Enables use access on group resources |
|
Hub & Spoke Admin( Enables full access to hub and spoke resources. Lowest-level resources where you can grant this role:
|
|
Hub & Spoke Viewer( Enables read-only access to hub and spoke resources. Lowest-level resources where you can grant this role:
|
|
Regional Endpoint Admin( Full access to all Regional Endpoint resources. |
|
Regional Endpoint Viewer( Read-only access to all Regional Endpoint resources. |
|
Service Class User( Service Class User uses a ServiceClass |
|
Service Automation Service Producer Admin( Service Automation Producer Admin uses information from a consumer request to manage ServiceClasses and ServiceConnectionMaps |
|
Spoke Admin( Enables full access to spoke resources and read-only access to hub resources. Lowest-level resources where you can grant this role:
|
|
Autorisations requises supplémentaires
Selon les actions à effectuer dans Network Connectivity Center, vous aurez peut-être besoin d'autorisations supplémentaires, comme décrit dans les sections suivantes.
Autorisation de créer un spoke
Pour créer un spoke, vous devez être autorisé à lire le type de ressource du spoke. Par exemple :
- Pour les spokes de tunnel VPN, les spokes de rattachement de VLAN et d'appareil de routeur, vous avez besoin de
compute.routers.get
. - Pour créer des spokes d'appareil de routeur, vous avez besoin de
compute.instances.get
. En outre, avant de pouvoir utiliser un spoke d'appareil de routeur, vous devez configurer l'appairage entre le routeur cloud et l'instance d'appareil de routeur. Pour établir l'appairage, vous devez disposer des autorisations suivantes :compute.instances.use
compute.routers.update
- Pour créer des spokes de rattachement de VLAN, vous avez besoin de
compute.interconnectAttachments.get
. - Pour créer des spokes de tunnel VPN, vous avez besoin de
compute.vpnTunnels.get
. Pour créer des spokes VPC, vous devez disposer des autorisations suivantes :
compute.networks.use
compute.networks.get
Pour créer des spokes VPC dans un projet différent du hub auquel ils sont associés, vous avez besoin de
networkconnectivity.groups.use
.
Autorisation d'utiliser Network Connectivity Center dans la console Google Cloud
Pour utiliser Network Connectivity Center dans la console Google Cloud, vous avez besoin d'un rôle, par exemple Lecteur de réseau Compute (roles/compute.networkViewer
), qui inclut les autorisations décrites dans le tableau suivant. Pour utiliser ces autorisations, vous devez d'abord créer un rôle personnalisé.
Tâche |
Autorisations requises |
---|---|
Accéder à la page Network Connectivity Center |
|
Accéder à la page Ajouter des spokes et l'utiliser |
|
Ajouter un spoke de rattachement de VLAN |
|
Ajouter un spoke de tunnel VPN |
|
Ajouter un spoke d'appareil de routeur |
|
Ajouter un spoke VPC |
|
Protéger des ressources avec VPC Service Controls
Vous pouvez renforcer la sécurité des ressources Network Connectivity Center à l'aide de VPC Service Controls.
VPC Service Controls fournit des mesures de sécurité supplémentaires à vos ressources pour réduire le risque d'exfiltration de données. Il vous permet également de placer les ressources Network Connectivity Center dans des périmètres de service. VPC Service Controls protège ensuite ces ressources contre les requêtes provenant de l'extérieur du périmètre.
Pour en savoir plus sur les périmètres de service, consultez la page Configuration du périmètre de service dans la documentation de VPC Service Controls.
Étapes suivantes
Pour plus d'informations sur les rôles au niveau du projet et les ressources Google Cloud, consultez les documentations suivantes :
- Pour en savoir plus sur les rôles et les autorisations IAM, consultez la section Contrôle des accès aux projets avec l'IAM.
- Pour comprendre les types de rôles, consultez la documentation de référence sur les rôles de base et prédéfinis pour Identity and Access Management.
- Pour en savoir plus sur les rôles prédéfinis, consultez la page Rôles et autorisations IAM de Compute Engine.
- Pour en savoir plus sur Network Connectivity Center, consultez la section Présentation de la connectivité réseau.
- Pour savoir comment gérer des hubs et des spokes, consultez la section Utiliser des hubs et des spokes.