Como administrador do hub, você pode conceder a usuários específicos a capacidade de criar spokes em outros projetos associados ao hub e manter controle total sobre quais spokes são aceitos no hub. Os spokes não se tornam ativos até que você os aceite explicitamente. Também é possível rejeitar spokes a qualquer momento, se necessário.
Para conceder a outro usuário a capacidade de criar spokes em outros projetos associados ao hub, conceda o papel roles/networkconnectivity.groupUser a esse usuário. Um usuário com o
papel groupUser em um hub tem automaticamente o papel em todos os grupos no hub
por meio da hierarquia de recursos do Identity and Access Management (IAM). Como administrador do hub, você também pode revogar o acesso de um usuário.
Antes de começar
Antes de começar, leia as seções a seguir.
Crie ou selecione um projeto.
Para facilitar a configuração do Network Connectivity Center, identifique um projeto válido.
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Install the Google Cloud CLI.
-
Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.
-
Para inicializar a gcloud CLI, execute o seguinte comando:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Install the Google Cloud CLI.
-
Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.
-
Para inicializar a gcloud CLI, execute o seguinte comando:
gcloud init Se você estiver usando a Google Cloud CLI, defina o ID do projeto usando o comando
gcloud config set.gcloud config set project PROJECT_ID
Substitua
PROJECT_IDpelo ID exclusivo do seu projeto.As instruções da CLI gcloud nesta página presumem que você tenha definido o ID do projeto.
Para confirmar se você definiu o ID do projeto corretamente, use o comando
gcloud config list.gcloud config list --format='text(core.project)'
No console Google Cloud , acesse a página Network Connectivity Center.
Clique em Ativar.
No console Google Cloud , acesse a página Network Connectivity Center.
No menu do projeto, selecione um projeto.
Clique na guia Hubs.
Na lista de hubs, selecione o hub ao qual você quer adicionar o acesso.
Clique em Permissões.
Na caixa de diálogo Permissões, clique em Adicionar participante.
Digite o nome de usuário do administrador que você quer adicionar.
Na caixa de diálogo Gerenciar papéis, na lista de papéis do Network Connectivity, selecione o papel que você quer atribuir, como Spoke Admin.
Clique em Save.
HUB_NAME: o hub do spoke, comomy-hub.MEMBER_DETAILS: detalhes sobre o usuário a quem você quer conceder acesso. Para informações detalhadas sobre identificadores e formato, consulte Identificadores principais.HUB_NAME: o hub do spoke, comomy-hub.MEMBER_DETAILS: detalhes sobre o usuário do qual você quer remover o acesso. Para informações detalhadas sobre identificadores e formato, consulte Identificadores principais.- Para criar hubs e spokes, consulte Como trabalhar com hubs e spokes.
- Para uma lista de parceiros com soluções integradas à Network Connectivity Center, consulte Parceiros da Network Connectivity Center.
- Para encontrar soluções para problemas comuns, consulte Solução de problemas.
- Para ver detalhes sobre os comandos da API e do
gcloud, consulte APIs e referência.
Ativar a API Network Connectivity
Antes de executar qualquer tarefa do Network Connectivity Center, é necessário ativar a API Network Connectivity.
Console
Para ativar a API Network Connectivity:
Como alternativa, é possível ativar a API usando a biblioteca de APIs do console doGoogle Cloud , conforme descrito em Como ativar APIs.
Gerenciar o acesso para criar spokes em hubs em projetos
Nas seções a seguir, descrevemos como conceder, revogar ou visualizar permissões para criar spokes em projetos diferentes de um hub.
Conceder o papel groupUser em um hub a outro usuário
Para conceder o papel networkconnectivity.groupUser em um hub a outro usuário, siga estas etapas.
Console
gcloud
Execute o comando gcloud network-connectivity hubs add-iam-policy-binding.
gcloud network-connectivity hubs add-iam-policy-binding HUB_NAME \
--member=MEMBER_DETAILS \
--role='roles/networkconnectivity.groupUser'
Substitua:
Revogar o papel groupUser de um usuário de um hub
Para revogar o papel roles/networkconnectivity.groupUser de um usuário em um hub, siga estas etapas.
gcloud
Execute o comando gcloud network-connectivity hubs remove-iam-policy-binding.
gcloud network-connectivity hubs remove-iam-policy-binding HUB_NAME \
--member=MEMBER_DETAILS \
--role='roles/networkconnectivity.groupUser'
Substitua:
Visualizar as permissões de um usuário
Para ver as permissões concedidas a um usuário em um hub, siga estas etapas.
gcloud
Execute o comando gcloud network-connectivity hubs get-iam-policy.
gcloud network-connectivity hubs get-iam-policy HUB_NAME
Substitua HUB_NAME pelo nome do hub com as permissões que você quer visualizar, como my-hub.