Rollen und Berechtigungen

Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) und Berechtigungen beschrieben, die zum Ausführen von Konnektivitätstests erforderlich sind.

Sie können Nutzern oder Dienstkonten Berechtigungen oder vordefinierte Rollen gewähren oder eine benutzerdefinierte Rolle mit den von Ihnen angegebenen Berechtigungen erstellen.

Die IAM-Berechtigungen verwenden das Präfix networkmanagement.

Informationen zum Abrufen oder Festlegen von IAM-Richtlinien oder zum Testen von IAM-Berechtigungen mit der Network Management API finden Sie unter Zugriffsrichtlinien verwalten.

Rollen

In diesem Abschnitt wird beschrieben, wie Sie vor- und benutzerdefinierte Rollen beim Gewähren von Berechtigungen für Konnektivitätstests verwenden.

Eine Erläuterung der einzelnen Berechtigungen finden Sie in der Berechtigungstabelle.

Weitere Informationen zu Projektrollen und Google Cloud -Ressourcen finden Sie in der folgenden Dokumentation:

• Dokumentation zu Resource Manager
• Dokumentation zur Identitäts- und Zugriffsverwaltung
• Compute Engine-Dokumentation mit einer Beschreibung der Zugriffssteuerung

Vordefinierte Rollen

Konnektivitätstests haben die folgenden vordefinierten Rollen:

• networkmanagement.admin: hat die Berechtigung, alle Vorgänge für eine Testressource auszuführen
• networkmanagement.viewer: hat die Berechtigung, eine bestimmte Testressource aufzulisten oder abzurufen

Die folgende Tabelle enthält die vordefinierten Rollen und die Berechtigungen, die für die einzelnen Rollen gelten.

Role	Permissions
Network Management Admin (roles/networkmanagement.admin) Full access to Network Management resources. Lowest-level resources where you can grant this role: Project	networkmanagement.* networkmanagement.connectivitytests.create networkmanagement.connectivitytests.delete networkmanagement.connectivitytests.get networkmanagement.connectivitytests.getIamPolicy networkmanagement.connectivitytests.list networkmanagement.connectivitytests.rerun networkmanagement.connectivitytests.setIamPolicy networkmanagement.connectivitytests.update networkmanagement.locations.get networkmanagement.locations.list networkmanagement.operations.cancel networkmanagement.operations.delete networkmanagement.operations.get networkmanagement.operations.list networkmanagement.topologygraphs.read networkmanagement.vpcflowlogsconfigs.create networkmanagement.vpcflowlogsconfigs.delete networkmanagement.vpcflowlogsconfigs.get networkmanagement.vpcflowlogsconfigs.list networkmanagement.vpcflowlogsconfigs.update resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list
GCP Network Management Service Agent (roles/networkmanagement.serviceAgent) Grants the GCP Network Management API the authority to complete analysis based on network configurations from Compute Engine and Container Engine.	cloudsql.instances.get cloudsql.instances.list compute.addresses.get compute.addresses.list compute.backendServices.get compute.backendServices.list compute.externalVpnGateways.get compute.externalVpnGateways.list compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute.globalForwardingRules.get compute.globalForwardingRules.list compute.globalNetworkEndpointGroups.get compute.globalNetworkEndpointGroups.list compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute.instanceGroups.get compute.instanceGroups.list compute.instances.get compute.instances.list compute.networkEndpointGroups.get compute.networkEndpointGroups.list compute.networks.get compute.networks.getEffectiveFirewalls compute.networks.list compute.networks.listPeeringRoutes compute.packetMirrorings.get compute.packetMirrorings.list compute.regionBackendServices.get compute.regionBackendServices.list compute.regionHealthChecks.get compute.regionHealthChecks.list compute.regionNetworkEndpointGroups.get compute.regionNetworkEndpointGroups.list compute.regionTargetHttpProxies.get compute.regionTargetHttpProxies.list compute.regionTargetHttpsProxies.get compute.regionTargetHttpsProxies.list compute.regionTargetTcpProxies.get compute.regionTargetTcpProxies.list compute.regionUrlMaps.get compute.regionUrlMaps.list compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.subnetworks.get compute.subnetworks.list compute.targetGrpcProxies.get compute.targetGrpcProxies.list compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute.targetHttpsProxies.list compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list container.clusters.get container.clusters.list container.nodes.get container.nodes.list
Network Management Viewer (roles/networkmanagement.viewer) Read-only access to Network Management resources. Lowest-level resources where you can grant this role: Project	networkmanagement.connectivitytests.get networkmanagement.connectivitytests.getIamPolicy networkmanagement.connectivitytests.list networkmanagement.locations.* networkmanagement.locations.get networkmanagement.locations.list networkmanagement.operations.get networkmanagement.operations.list networkmanagement.topologygraphs.read networkmanagement.vpcflowlogsconfigs.get networkmanagement.vpcflowlogsconfigs.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list

Benutzerdefinierte Rollen

Sie können benutzerdefinierte Rollen erstellen, indem Sie eine Liste der Berechtigungen aus der Berechtigungstabelle für Konnektivitätstests auswählen.

Sie können beispielsweise eine Rolle mit dem Namen reachabilityUsers erstellen und dieser Rolle die Berechtigungen list, get und rerun zuweisen. Ein Nutzer mit dieser Rolle kann vorhandene Konnektivitätstests noch einmal ausführen und anhand der aktuellen Netzwerkkonfiguration aktualisierte Testergebnisse aufrufen.

Projektrollen

Sie können Projektrollen verwenden, um Berechtigungen für Google Cloud -Ressourcen festzulegen. Da Konnektivitätstests Lesezugriff auf dieGoogle Cloud -Ressourcenkonfigurationen in Ihrem VPC-Netzwerk (Virtual Private Cloud) haben müssen, um einen Test auszuführen, müssen Sie Nutzern oder Dienstkonten, die einen Test für diese Ressourcen ausführen, mindestens die Rolle Compute-Netzwerkbetrachter (roles/compute.networkViewer) zuweisen. Sie können auch eine benutzerdefinierte Rolle erstellen oder vorübergehend Berechtigungen autorisieren, die der vorherigen Rolle für einen bestimmten Nutzer zugeordnet sind.

Alternativ können Sie einem Nutzer oder Dienstkonto eine der folgenden vordefinierten Rollen für Google Cloud -Projekte zuweisen:

• project.viewer: verfügt über alle Berechtigungen einer networkmanagement.viewer-Rolle
• project.editor oder project.owner: verfügt über alle Berechtigungen der Rolle networkmanagement.admin

Berechtigungen

In diesem Abschnitt werden Berechtigungen für Konnektivitätstests und ihre Verwendung beim Testen verschiedener Typen von Netzwerkkonfigurationen erläutert.

Berechtigungen für Konnektivitätstests

Konnektivitätstests haben die folgenden IAM-Berechtigungen.

Berechtigung	Beschreibung
networkmanagement.connectivitytests.list	Listet alle Tests auf, die im angegebenen Projekt konfiguriert wurden
networkmanagement.connectivitytests.get	Ruft die Details eines bestimmten Tests ab
networkmanagement.connectivitytests.create	Erstellt ein neues Testobjekt im angegebenen Projekt mit den Daten, die Sie für den Test angeben. Diese Berechtigung beinhaltet die Berechtigung, Tests zu aktualisieren, noch einmal auszuführen oder zu löschen.
networkmanagement.connectivitytests.update	Aktualisiert ein oder mehrere Felder in einem vorhandenen Test
networkmanagement.connectivitytests.delete	Löscht den angegebenen Test
networkmanagement.connectivitytests.rerun	Führt eine einmalige Überprüfung der Erreichbarkeit für einen bestimmten Test noch einmal aus

Wenn Sie keine Berechtigung zum Erstellen oder Aktualisieren eines Tests haben, sind die entsprechenden Schaltflächen inaktiv. Dazu gehören die Schaltfläche Konnektivitätstest erstellen und auf der Seite Verbindungstestdetails die Schaltfläche Bearbeiten. Wenn Sie den Mauszeiger auf die inaktive Schaltfläche bewegen, wird in beiden Fällen eine Nachricht mit einer Beschreibung der erforderlichen Berechtigung angezeigt.

Berechtigungen zum Ausführen eines Tests

Sie benötigen die folgenden Rollen und Berechtigungen, um einen Test auszuführen:

• Die Berechtigung networkmanagement.connectivitytests.create (oder networkmanagement.connectivitytests.rerun) in einem Projekt mit einer Konnektivitätstests-Ressource.
• Rolle „Compute-Netzwerkbetrachter“ (roles/compute.networkViewer) oder die Legacy-Rolle Betrachter (roles/viewer) für alle Projekte, die im Trace-Pfad enthalten sind.

Beachten Sie die folgenden zusätzlichen Aspekte bei den verschiedenen Arten von Verbindungsoptionen.

VPC-Netzwerk-Peering, NCC oder Cloud VPN-Verbindung

Wenn der Trace-Pfad VPC-Netzwerk-Peering, Network Connectivity Center oder Cloud VPN-Verbindungen zu einem Netzwerk in einem anderen Projekt umfasst, wird ein Paketpfad in diesem Netzwerk nur simuliert, wenn Sie Berechtigungen für dieses Projekt haben. Andernfalls wird ein unvollständiges Testergebnis zurückgegeben, z. B. ein Trace, der mit dem endgültigen Zustand „Weiterleiten“ endet.

Freigegebene VPC-Projekte

Wenn ein Quell- oder Zielendpunkt (z. B. eine VM-Instanz) eine freigegebene VPC verwendet, benötigen Sie die Berechtigung für den Zugriff auf das Host- und das Dienstprojekt.

• Wenn Sie die Berechtigung haben, sowohl auf das Host- als auch auf das Dienstprojekt zuzugreifen, enthält die Trace-Information Details zu allen relevanten Ressourcen.
• Wenn Sie nicht berechtigt sind, auf eines der Projekte zuzugreifen, werden Informationen zu Ressourcen, die in diesem Projekt definiert sind, im Trace ausgeblendet. Ein Berechtigungsfehler wird angezeigt.

Beispiele

• Sie haben Zugriff auf das Projekt der VM-Instanz (Dienstprojekt), aber nicht auf das zugehörige Netzwerkprojekt (Hostprojekt). Wenn Sie einen Test mit dieser VM-Instanz als Quelle (angegeben durch den Namen) ausführen, werden alle Schritte, die mit dem Hostprojekt verknüpft sind (z. B. das Anwenden von Firewalls oder Routen), ausgeblendet.

• Sie haben Zugriff auf das Netzwerkprojekt (Hostprojekt), aber nicht auf das VM-Projekt (Dienstprojekt). Wenn Sie einen Test mit dieser VM-Instanz als Quelle (angegeben durch ihre IP-Adresse) ausführen, werden alle Schritte, die mit dem Dienstprojekt verknüpft sind, z. B. ein Schritt mit den VM-Instanzdetails, ausgeblendet.

Veröffentlichte Private Service Connect-Dienste

Wenn das Paket an den über Private Service Connect veröffentlichten Dienst gesendet wird (über einen Private Service Connect-Endpunkt oder ein Private Service Connect-Back-End), wird der Teil des Traces im Producer-Projekt nur angezeigt, wenn Sie darauf Zugriff haben. Andernfalls endet der Trace mit einem allgemeinen Endzustand wie Paket an das PSC-Erstellerprojekt gesendet oder Paket im PSC-Erstellerprojekt verworfen.

Von Google verwaltete Dienste

Wenn das Paket an das von Google verwaltete Netzwerk gesendet wird, das mit einem von Google verwalteten Dienst (z. B. Cloud SQL) verknüpft ist, oder von diesem stammt, werden die Schritte im von Google verwalteten Projekt nicht angezeigt. Es wird ein allgemeiner Start- oder Endschritt angezeigt.

Öffentliche IP-Adressen von Google Cloud Ressourcen

Wenn Sie eine öffentliche IP-Adresse angeben, die einer Ressource in einem Ihrer Projekte zugewiesen ist, aber keine Berechtigungen für das Projekt haben, in dem die Ressource mit dieser Adresse definiert ist, wird diese IP-Adresse als Internet-IP-Adresse betrachtet. Details zur zugrunde liegenden Ressource oder zum Paketpfad nach Erreichen dieser Ressource werden nicht angezeigt.

Berechtigungen zum Aufrufen von Testergebnissen

Beachten Sie Folgendes, um die Testergebnisse aufzurufen:

• Wenn Sie die Ergebnisse von Tests aufrufen möchten, die nach Oktober 2024 erstellt oder aktualisiert wurden, benötigen Sie nur die Berechtigung zum Aufrufen der Testressource (networkmanagement.connectivitytests.get). Berechtigungen für die Ressourcen und Projekte, die im Trace-Pfad enthalten sind, sind nicht erforderlich.
• Wenn Sie die Ergebnisse von Tests ansehen möchten, die vor Oktober 2024 ausgeführt wurden, benötigen Sie die Rolle „Compute-Netzwerkbetrachter“ oder die Legacy-Rolle Betrachter (roles/viewer) für alle Projekte, die im Trace-Pfad enthalten sind.

Hierarchische Firewallrichtlinien

Ihr Trace kann eine hierarchische Firewallrichtlinie enthalten, für die Sie keine Aufrufberechtigung haben. Es werden aber, auch wenn Sie nicht dazu berechtigt sind, die Richtliniendetails aufzurufen, nach wie vor die Richtlinienregeln für Ihr VPC-Netzwerk angezeigt. Weitere Informationen finden Sie unter IAM-Rollen in der Übersicht zu hierarchischen Firewallrichtlinien.

Nächste Schritte

• Zugriffsrichtlinien verwalten
• Weitere Informationen zu Konnektivitätstests
• Konnektivitätstests erstellen und ausführen
• Fehlerbehebung bei Konnektivitätstests