Rollen und Berechtigungen

Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) und Berechtigungen beschrieben, die für den Zugriff auf Cloud Network Insights erforderlich sind. Eine ausführliche Beschreibung von IAM finden Sie in der IAM-Dokumentation.

Sie können Nutzern oder Dienstkonten Berechtigungen oder vordefinierte Rollen gewähren oder eine benutzerdefinierte Rolle mit den von Ihnen angegebenen Berechtigungen erstellen.

Möglicherweise müssen Sie den Befehl add-iam-policy in der Google Cloud CLI ausführen, um Nutzern Cloud Network Insights-Rollen zuzuweisen.

Die Rollen, die Nutzern in Google Cloud zugewiesen sind, werden in AppNeta repliziert. Wenn Sie Cloud Network Insights-Ressourcen in der Google Cloud Console bearbeiten können, können Sie sie auch in AppNeta bearbeiten.

Rollen

In diesem Abschnitt wird beschrieben, wie Sie vor- und benutzerdefinierte Rollen beim Gewähren von Berechtigungen für Cloud Network Insights verwenden.

Vordefinierte Rollen für Cloud Network Insights

Cloud Network Insights bietet die folgenden vordefinierten Rollen, mit denen Sie entweder alle Cloud Network Insights-Ressourcen ändern oder die Ressourcen ansehen können:

  • Cloud Network Insights Editor (roles/networkmanagement.CloudNetworkInsightsEditor)
  • Cloud Network Insights Viewer (roles/networkmanagement.CloudNetworkInsightsViewer)

Wenn Sie Nutzern die Möglichkeit geben möchten, Cloud Network Insights in Projekten aufzurufen, in denen es bereits aktiviert ist, können Sie ihnen eine der folgenden vordefinierten Rollen zuweisen:

  • Cloud Network Management Viewer (roles/networkmanagement.viewer)
  • Cloud Network Insights Viewer (roles/networkmanagement.CloudNetworkInsightsViewer)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Cloud Network Insights-Rollen

In den folgenden Tabellen werden die vordefinierten IAM-Rollen und die zugehörigen Berechtigungen für Cloud Network Insights beschrieben.

Weitere Informationen finden Sie in der Referenz für IAM-Berechtigungen.

Rolle Berechtigungen

Cloud Network Insights Editor

( roles/networkmanagement.CloudNetworkInsightsEditor )

Vollständiger Zugriff auf Cloud Network Insights-Ressourcen.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • networkmanagement.providers.get
  • networkmanagement.providers.list
  • networkmanagement.providers.generateProviderAccessToken
  • networkmanagement.providers.create
  • networkmanagement.providers.delete
  • networkmanagement.providers.downloadConfig
  • networkmanagement.monitoringPoints.get
  • networkmanagement.monitoringPoints.list
  • networkmanagement.networkPaths.get
  • networkmanagement.networkPaths.list
  • networkmanagement.webPaths.get
  • networkmanagement.webPaths.list
  • productrequirementsservice.requirements.record
  • productrequirementsservice.requirements.check

Cloud Network Insights Viewer

(roles/networkmanagement.CloudNetworkInsightsViewer)

Lesezugriff auf Cloud Network Insights-Ressourcen.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
  • Projekt
  • networkmanagement.providers.get
  • networkmanagement.providers.list
  • networkmanagement.providers.generateProviderAccessToken
  • networkmanagement.monitoringPoints.get
  • networkmanagement.monitoringPoints.list
  • networkmanagement.networkPaths.get
  • networkmanagement.networkPaths.list
  • networkmanagement.webPaths.get
  • networkmanagement.webPaths.list
  • productrequirementsservice.requirements.check

Rollen für Benachrichtigungen und Logs

In der folgenden Tabelle werden die vordefinierten IAM-Rollen und die zugehörigen Berechtigungen zum Ansehen oder Verwalten von Benachrichtigungen und Logs auf Grundlage von Cloud Network Insights-Daten beschrieben. Nutzer benötigen außerdem die Rolle „Cloud Network Insights Viewer“ oder „Cloud Network Insights Editor“.

Rolle Berechtigungen

Loganzeige

(roles/logging.viewer)
Berechtigung zum Aufrufen von Logs
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
  • Ansehen
  • logging.buckets.get
  • logging.buckets.list
  • logging.exclusions.get
  • logging.exclusions.list
  • logging.links.get
  • logging.links.list
  • logging.locations.*
  • logging.logEntries.list
  • logging.logMetrics.get
  • logging.logMetrics.list
  • logging.logScopes.get
  • logging.logScopes.list
  • logging.logServiceIndexes.list
  • logging.logServices.list
  • logging.logs.list
  • logging.operations.get
  • logging.operations.list
  • logging.queries.getShared
  • logging.queries.listShared
  • logging.queries.usePrivate
  • logging.sinks.get
  • logging.sinks.list
  • logging.usage.get
  • logging.views.get
  • logging.views.list
  • observability.scopes.get
  • resourcemanager.projects.get

Autor von Log-Konfigurationen

(roles/logging.configWriter)
Benachrichtigungsrichtlinien erstellen.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
  • Ansehen
  • logging.buckets.create
  • logging.buckets.createTagBinding
  • logging.buckets.delete
  • logging.buckets.deleteTagBinding
  • logging.buckets.get
  • logging.buckets.list
  • logging.buckets.listEffectiveTags
  • logging.buckets.listTagBindings
  • logging.buckets.undelete
  • logging.buckets.update
  • logging.exclusions.*
  • logging.links.*
  • logging.locations.*
  • logging.logMetrics.*
  • logging.logScopes.*
  • logging.logServiceIndexes.list
  • logging.logServices.list
  • logging.logs.list
  • logging.notificationRules.*
  • logging.operations.*
  • logging.settings.*
  • logging.sinks.*
  • logging.sqlAlerts.*
  • logging.views.create
  • logging.views.delete
  • logging.views.get
  • logging.views.getIamPolicy
  • logging.views.list
  • logging.views.update
  • observability.scopes.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Bearbeiter von Monitoring-Benachrichtigungskanälen (Beta)

(roles/monitoring.notificationChannelEditor)
Erstellen Sie eine Benachrichtigungsrichtlinie, die mit einer Benachrichtigung verknüpft ist.
  • monitoring.notificationChannelDescriptors.*
  • monitoring.notificationChannels.create
  • monitoring.notificationChannels.delete
  • monitoring.notificationChannels.get
  • monitoring.notificationChannels.list
  • monitoring.notificationChannels.sendVerificationCode
  • monitoring.notificationChannels.update
  • monitoring.notificationChannels.verify

Betrachter von Monitoring-Benachrichtigungsrichtlinien

(roles/monitoring.alertPolicyViewer)

Benachrichtigungsrichtlinien ansehen.
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.listEffectiveTags
  • monitoring.alertPolicies.listTagBindings

Bearbeiter von Monitoring-Benachrichtigungsrichtlinien

roles/monitoring.alertPolicyEditor
Benachrichtigungsrichtlinien bearbeiten.
  • monitoring.alertPolicies.*