Ruoli e autorizzazioni

Questa pagina descrive i ruoli e le autorizzazioni Identity and Access Management (IAM) necessari per eseguire Connectivity Tests.

Puoi concedere agli utenti o ai service account autorizzazioni o ruoli predefiniti oppure creare un ruolo personalizzato che utilizzi le autorizzazioni che specifichi.

Le autorizzazioni IAM utilizzano il prefisso networkmanagement.

Per ottenere o impostare criteri IAM o per testare le autorizzazioni IAM con l'API Network Management, consulta Gestire i criteri di accesso.

Ruoli

Questa sezione descrive come utilizzare i ruoli predefiniti e personalizzati quando concedi le autorizzazioni per Connectivity Tests.

Per una spiegazione di ogni autorizzazione, consulta la tabella delle autorizzazioni.

Per saperne di più sui ruoli del progetto e sulle risorse, consulta la seguente documentazione: Google Cloud

• Documentazione di Resource Manager
• Documentazione di Identity and Access Management
• Documentazione di Compute Engine che descrive il controllo dell'accesso

Ruoli predefiniti

Connectivity Tests ha i seguenti ruoli predefiniti:

• networkmanagement.admin ha l'autorizzazione per eseguire tutte le operazioni su una risorsa di test.
• networkmanagement.viewer ha l'autorizzazione per elencare o ottenere una risorsa di test specifica.

La tabella seguente elenca i ruoli predefiniti e le autorizzazioni applicabili a ciascun ruolo.

Role	Permissions
Network Management Admin (roles/networkmanagement.admin) Full access to Network Management resources. Lowest-level resources where you can grant this role: Project	networkmanagement.* networkmanagement.connectivitytests.create networkmanagement.connectivitytests.delete networkmanagement.connectivitytests.get networkmanagement.connectivitytests.getIamPolicy networkmanagement.connectivitytests.list networkmanagement.connectivitytests.rerun networkmanagement.connectivitytests.setIamPolicy networkmanagement.connectivitytests.update networkmanagement.locations.get networkmanagement.locations.list networkmanagement.operations.cancel networkmanagement.operations.delete networkmanagement.operations.get networkmanagement.operations.list networkmanagement.topologygraphs.read networkmanagement.vpcflowlogsconfigs.create networkmanagement.vpcflowlogsconfigs.delete networkmanagement.vpcflowlogsconfigs.get networkmanagement.vpcflowlogsconfigs.list networkmanagement.vpcflowlogsconfigs.update resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list
GCP Network Management Service Agent (roles/networkmanagement.serviceAgent) Grants the GCP Network Management API the authority to complete analysis based on network configurations from Compute Engine and Container Engine.	cloudsql.instances.get cloudsql.instances.list compute.addresses.get compute.addresses.list compute.backendServices.get compute.backendServices.list compute.externalVpnGateways.get compute.externalVpnGateways.list compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute.globalForwardingRules.get compute.globalForwardingRules.list compute.globalNetworkEndpointGroups.get compute.globalNetworkEndpointGroups.list compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute.instanceGroups.get compute.instanceGroups.list compute.instances.get compute.instances.list compute.networkEndpointGroups.get compute.networkEndpointGroups.list compute.networks.get compute.networks.getEffectiveFirewalls compute.networks.list compute.networks.listPeeringRoutes compute.packetMirrorings.get compute.packetMirrorings.list compute.regionBackendServices.get compute.regionBackendServices.list compute.regionHealthChecks.get compute.regionHealthChecks.list compute.regionNetworkEndpointGroups.get compute.regionNetworkEndpointGroups.list compute.regionTargetHttpProxies.get compute.regionTargetHttpProxies.list compute.regionTargetHttpsProxies.get compute.regionTargetHttpsProxies.list compute.regionTargetTcpProxies.get compute.regionTargetTcpProxies.list compute.regionUrlMaps.get compute.regionUrlMaps.list compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.subnetworks.get compute.subnetworks.list compute.targetGrpcProxies.get compute.targetGrpcProxies.list compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute.targetHttpsProxies.list compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list container.clusters.get container.clusters.list container.nodes.get container.nodes.list
Network Management Viewer (roles/networkmanagement.viewer) Read-only access to Network Management resources. Lowest-level resources where you can grant this role: Project	networkmanagement.connectivitytests.get networkmanagement.connectivitytests.getIamPolicy networkmanagement.connectivitytests.list networkmanagement.locations.* networkmanagement.locations.get networkmanagement.locations.list networkmanagement.operations.get networkmanagement.operations.list networkmanagement.topologygraphs.read networkmanagement.vpcflowlogsconfigs.get networkmanagement.vpcflowlogsconfigs.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list

Ruoli personalizzati

Puoi creare ruoli personalizzati selezionando un elenco di autorizzazioni dalla tabella delle autorizzazioni perConnectivity Testsà.

Ad esempio, puoi creare un ruolo denominato reachabilityUsers e concedere a questo ruolo le autorizzazioni list, get e rerun. Un utente con questo ruolo può eseguire nuovamente Connectivity Tests esistenti e visualizzare i risultati aggiornati in base alla configurazione di rete più recente.

Ruoli di progetto

Puoi utilizzare i ruoli del progetto per impostare le autorizzazioni per le Google Cloud risorse. Poiché i test di connettività devono disporre dell'accesso in lettura alle configurazioni delle risorseGoogle Cloud nella rete Virtual Private Cloud (VPC) per eseguire un test, devi concedere almeno il ruolo Visualizzatore rete Compute (roles/compute.networkViewer) agli utenti o ai service account che eseguono un test sulle risorse. Puoi anche creare un ruolo personalizzato o autorizzare temporaneamente le autorizzazioni associate al ruolo precedente per un utente specifico.

In alternativa, puoi concedere a un utente o a un account di servizio uno dei seguenti ruoli predefiniti per i progetti Google Cloud :

• project.viewer dispone di tutte le autorizzazioni di un ruolo networkmanagement.viewer.
• project.editor o project.owner dispone di tutte le autorizzazioni del ruolo networkmanagement.admin.

Autorizzazioni

Questa sezione descrive le autorizzazioni per Connectivity Tests e come utilizzarle durante il test di diversi tipi di configurazioni di rete.

Autorizzazioni di Connectivity Tests

Connectivity Tests dispongono delle seguenti autorizzazioni IAM.

Autorizzazione	Descrizione
networkmanagement.connectivitytests.list	Elenca tutti i test configurati nel progetto specificato.
networkmanagement.connectivitytests.get	Recupera i dettagli di un test specifico.
networkmanagement.connectivitytests.create	Crea un nuovo oggetto di test nel progetto specificato con i dati che specifichi per il test. Questa autorizzazione include l'autorizzazione per aggiornare, eseguire nuovamente o eliminare i test.
networkmanagement.connectivitytests.update	Aggiorna uno o più campi in un test esistente.
networkmanagement.connectivitytests.delete	Elimina il test specificato.
networkmanagement.connectivitytests.rerun	Esegue di nuovo una verifica di raggiungibilità una tantum per un test specificato.

Se non hai l'autorizzazione per creare o aggiornare un test, i pulsanti corrispondenti sono inattivi. Questi includono il pulsante Crea test di connettività e, nella pagina Dettagli test di connettività, il pulsante Modifica. In ogni caso, quando tieni il puntatore sopra il pulsante inattivo, Connectivity Tests visualizza un messaggio che descrive l'autorizzazione necessaria.

Autorizzazioni per eseguire un test

Per eseguire un test, devi disporre dei seguenti ruoli e autorizzazioni:

• Autorizzazione networkmanagement.connectivitytests.create (o networkmanagement.connectivitytests.rerun) in un progetto con una risorsa Connectivity Tests.
• Ruolo Compute Network Viewer (roles/compute.networkViewer) o il ruolo legacy Visualizzatore (roles/viewer) per tutti i progetti inclusi nel percorso di traccia.

Tieni presente le seguenti considerazioni aggiuntive con i diversi tipi di opzioni di connettività.

Connettività di peering di rete VPC, NCC o Cloud VPN

Se il percorso di traccia include il peering di rete VPC, Network Connectivity Center o la connettività Cloud VPN a una rete in un progetto diverso, un percorso dei pacchetti in quella rete viene simulato solo se disponi delle autorizzazioni per quel progetto. In caso contrario, viene restituito un risultato del test incompleto (ad esempio, una traccia che termina con lo stato finale Forward).

Progetti VPC condiviso

Se un endpoint di origine o di destinazione (ad esempio un'istanza di macchina virtuale) utilizza VPC condiviso, devi disporre dell'autorizzazione per accedere sia al progetto host sia a quello di servizio.

• Se disponi dell'autorizzazione per accedere sia al progetto host sia ai progetti di servizio, le informazioni di traccia includono dettagli su tutte le risorse pertinenti.
• Se non hai l'autorizzazione per accedere a uno dei progetti, le informazioni sulle risorse definite in questo progetto sono nascoste nella traccia. Viene visualizzato un errore di autorizzazione.

Esempi

• Hai accesso al progetto dell'istanza VM (progetto di servizio), ma non al progetto di rete (progetto host). Se esegui un test con questa istanza VM come origine (specificata dal nome), tutti i passaggi associati al progetto host (ad esempio l'applicazione di firewall o route) vengono nascosti.

• Hai accesso al progetto di rete (progetto host), ma non al progetto VM (progetto di servizio). Se esegui un test con questa istanza VM come origine (specificata dal relativo indirizzo IP), tutti i passaggi associati al progetto di servizio, ad esempio un passaggio con i dettagli dell'istanza VM, vengono nascosti.

Servizi pubblicati di Private Service Connect

Se il pacchetto viene inviato al servizio pubblicato di Private Service Connect (tramite un endpoint Private Service Connect o un backend Private Service Connect), la parte della traccia nel progetto produttore viene mostrata solo se hai accesso. In caso contrario, la traccia termina con uno stato finale generale, ad esempio Pacchetto consegnato al progetto producer PSC o Pacchetto eliminato all'interno del progetto producer PSC.

Servizi gestiti da Google

Se il pacchetto viene inviato a o da una rete gestita da Google associata a un servizio gestito da Google (come Cloud SQL), i passaggi all'interno del progetto gestito da Google non vengono visualizzati. Viene visualizzato un passaggio iniziale generale o un passaggio finale.

Indirizzi IP pubblici delle risorse Google Cloud

Se specifichi un indirizzo IP pubblico assegnato a una risorsa in uno dei tuoi progetti come origine o destinazione di test, ma non disponi delle autorizzazioni per il progetto in cui è definita la risorsa con questo indirizzo, questo indirizzo IP viene considerato un indirizzo IP internet. Non vengono visualizzati dettagli sul percorso della risorsa o del pacchetto sottostante dopo che la risorsa è stata raggiunta.

Autorizzazioni per la visualizzazione dei risultati dei test

Per visualizzare i risultati del test, tieni presente quanto segue:

• Per visualizzare i risultati dei test creati o aggiornati dopo ottobre 2024, ti serve solo l'autorizzazione per visualizzare la risorsa di test (networkmanagement.connectivitytests.get); non hai bisogno delle autorizzazioni per le risorse e i progetti inclusi nel percorso di traccia.
• Per visualizzare i risultati dei test eseguiti prima di ottobre 2024, devi disporre del ruolo Visualizzatore rete Compute o del ruolo legacy Visualizzatore (roles/viewer) per tutti i progetti inclusi nel percorso di traccia.

Criteri firewall gerarchici

La traccia potrebbe includere un criterio firewall gerarchico per cui non hai l'autorizzazione per la visualizzazione. Tuttavia, anche se non hai l'autorizzazione per visualizzare i dettagli della policy, puoi comunque vedere le regole della policy che si applicano alla tua rete VPC. Per maggiori dettagli, consulta la sezione Ruoli IAM nella panoramica delle "Policy dei firewall gerarchiche".

Passaggi successivi

• Gestisci policy di accesso
• Scopri di più sui test di connettività
• Crea ed esegui test di connettività
• Risolvere i problemi di Connectivity Tests