Rôles et autorisations

Cette page décrit les rôles et les autorisations Identity and Access Management (IAM) nécessaires pour accéder à Cloud Network Insights. Pour obtenir une description détaillée d'IAM, consultez la documentation Identity and Access Management.

Vous pouvez attribuer des autorisations ou des rôle prédéfinis à des utilisateurs ou à des comptes de service. Vous pouvez également créer un rôle personnalisé doté des autorisations que vous spécifiez.

Vous devrez peut-être exécuter la commande add-iam-policy dans Google Cloud CLI pour accorder des rôles Cloud Network Insights aux utilisateurs.

Les rôles accordés aux utilisateurs dans Google Cloud sont répliqués dans AppNeta. Si vous pouvez modifier les ressources Cloud Network Insights dans la console Google Cloud , vous pouvez les modifier dans AppNeta.

Rôles

Cette section explique comment utiliser des rôles prédéfinis et personnalisés lorsque vous accordez des autorisations pour Cloud Network Insights.

Rôles prédéfinis pour Cloud Network Insights

Cloud Network Insights propose les rôles prédéfinis suivants, qui vous permettent de modifier toutes les ressources Cloud Network Insights ou de les afficher :

  • Éditeur Cloud Network Insights (roles/networkmanagement.CloudNetworkInsightsEditor)
  • Lecteur Cloud Network Insights (roles/networkmanagement.CloudNetworkInsightsViewer)

Si vous souhaitez autoriser les utilisateurs à afficher Cloud Network Insights dans les projets où il est déjà activé, vous pouvez leur attribuer l'un des rôles prédéfinis suivants :

  • Lecteur Cloud Network Management (roles/networkmanagement.viewer)
  • Lecteur Cloud Network Insights (roles/networkmanagement.CloudNetworkInsightsViewer)

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Rôles Cloud Network Insights

Les tableaux suivants décrivent les rôles IAM prédéfinis et les autorisations associées pour Cloud Network Insights.

Pour en savoir plus, consultez la documentation de référence sur les autorisations IAM.

Rôle Autorisations

Éditeur Cloud Network Insights

( roles/networkmanagement.CloudNetworkInsightsEditor )

Accès complet aux ressources Cloud Network Insights.
Ressources de niveau le plus bas auxquelles vous pouvez attribuer ce rôle :

  • Projet
  • networkmanagement.providers.get
  • networkmanagement.providers.list
  • networkmanagement.providers.generateProviderAccessToken
  • networkmanagement.providers.create
  • networkmanagement.providers.delete
  • networkmanagement.providers.downloadConfig
  • networkmanagement.monitoringPoints.get
  • networkmanagement.monitoringPoints.list
  • networkmanagement.networkPaths.get
  • networkmanagement.networkPaths.list
  • networkmanagement.webPaths.get
  • networkmanagement.webPaths.list
  • productrequirementsservice.requirements.record
  • productrequirementsservice.requirements.check

Lecteur Cloud Network Insights

(roles/networkmanagement.CloudNetworkInsightsViewer)

Accès en lecture seule aux ressources Cloud Network Insights.
Ressources de niveau le plus bas auxquelles vous pouvez attribuer ce rôle :
  • Projet
  • networkmanagement.providers.get
  • networkmanagement.providers.list
  • networkmanagement.providers.generateProviderAccessToken
  • networkmanagement.monitoringPoints.get
  • networkmanagement.monitoringPoints.list
  • networkmanagement.networkPaths.get
  • networkmanagement.networkPaths.list
  • networkmanagement.webPaths.get
  • networkmanagement.webPaths.list
  • productrequirementsservice.requirements.check

Rôles liés aux alertes et aux journaux

Le tableau suivant décrit les rôles IAM prédéfinis et les autorisations associées permettant d'afficher ou de gérer les alertes et les journaux en fonction des données Cloud Network Insights. Les utilisateurs doivent également disposer du rôle Lecteur ou Éditeur Cloud Network Insights.

Rôle Autorisations

Visionneuse de journaux

(roles/logging.viewer)
Permet d'afficher les journaux.
Ressources de niveau le plus bas auxquelles vous pouvez attribuer ce rôle :
  • Afficher
  • logging.buckets.get
  • logging.buckets.list
  • logging.exclusions.get
  • logging.exclusions.list
  • logging.links.get
  • logging.links.list
  • logging.locations.*
  • logging.logEntries.list
  • logging.logMetrics.get
  • logging.logMetrics.list
  • logging.logScopes.get
  • logging.logScopes.list
  • logging.logserviceIndexes.list
  • logging.logservices.list
  • logging.logs.list
  • logging.operations.get
  • logging.operations.list
  • logging.queries.getShared
  • logging.queries.listShared
  • logging.queries.usePrivate
  • logging.sinks.get
  • logging.sinks.list
  • logging.usage.get
  • logging.views.get
  • logging.views.list
  • observability.scopes.get
  • resourcemanager.projects.get

Rédacteur de configuration des journaux

(roles/logging.configWriter)
Créez des règles d'alerte.
Ressources de niveau le plus bas auxquelles vous pouvez attribuer ce rôle :
  • Afficher
  • logging.buckets.create
  • logging.buckets.createTagBinding
  • logging.buckets.delete
  • logging.buckets.deleteTagBinding
  • logging.buckets.get
  • logging.buckets.list
  • logging.buckets.listEffectiveTags
  • logging.buckets.listTagBindings
  • logging.buckets.undelete
  • logging.buckets.update
  • logging.exclusions.*
  • logging.links.*
  • logging.locations.*
  • logging.logMetrics.*
  • logging.logScopes.*
  • logging.logserviceIndexes.list
  • logging.logservices.list
  • logging.logs.list
  • logging.notificationRules.*
  • logging.operations.*
  • logging.settings.*
  • logging.sinks.*
  • logging.sqlAlerts.*
  • logging.views.create
  • logging.views.delete
  • logging.views.get
  • logging.views.getIamPolicy
  • logging.views.list
  • logging.views.update
  • observability.scopes.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Éditeur de canaux de notification Monitoring (bêta)

(roles/monitoring.notificationChannelEditor)
Créez une règle d'alerte associée à une notification.
  • monitoring.notificationChannelDescriptors.*
  • monitoring.notificationChannels.create
  • monitoring.notificationChannels.delete
  • monitoring.notificationChannels.get
  • monitoring.notificationChannels.list
  • monitoring.notificationChannels.sendVerificationCode
  • monitoring.notificationChannels.update
  • monitoring.notificationChannels.verify

Lecteur de Monitoring AlertPolicy

(roles/monitoring.alertPolicyViewer)

Affichez les règles d'alerte.
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.listEffectiveTags
  • monitoring.alertPolicies.listTagBindings

Éditeur Monitoring AlertPolicy

(roles/monitoring.alertPolicyEditor)
Modifiez les règles d'alerte.
  • monitoring.alertPolicies.*