Peran dan izin

Halaman ini menjelaskan peran dan izin Identity and Access Management (IAM) yang diperlukan untuk menjalankan Uji Konektivitas.

Anda dapat memberikan izin atau peran bawaan kepada pengguna atau akun layanan, atau Anda dapat membuat peran khusus yang menggunakan izin yang Anda tentukan.

Izin IAM menggunakan prefiks networkmanagement.

Untuk mendapatkan atau menetapkan kebijakan IAM, atau untuk menguji izin IAM dengan Network Management API, lihat Mengelola kebijakan akses.

Peran

Bagian ini menjelaskan cara menggunakan peran bawaan dan kustom saat memberikan izin untuk Uji Konektivitas.

Untuk mengetahui penjelasan setiap izin, lihat tabel izin.

Untuk mengetahui informasi selengkapnya tentang peran project dan Google Cloud resource, lihat dokumentasi berikut:

Peran yang telah ditetapkan

Uji Konektivitas memiliki peran bawaan berikut:

networkmanagement.admin memiliki izin untuk melakukan semua operasi pada resource pengujian.
networkmanagement.viewer memiliki izin untuk mencantumkan atau mendapatkan resource pengujian tertentu.

Tabel berikut mencantumkan peran yang telah ditetapkan dan izin yang berlaku untuk setiap peran.

Role Permissions

Role	Permissions
Network Management Admin (`roles/networkmanagement.admin`) Full access to Network Management resources. Lowest-level resources where you can grant this role: Project	`networkmanagement.*` `networkmanagement.connectivitytests.create` `networkmanagement.connectivitytests.delete` `networkmanagement.connectivitytests.get` `networkmanagement.connectivitytests.getIamPolicy` `networkmanagement.connectivitytests.list` `networkmanagement.connectivitytests.rerun` `networkmanagement.connectivitytests.setIamPolicy` `networkmanagement.connectivitytests.update` `networkmanagement.locations.get` `networkmanagement.locations.list` `networkmanagement.operations.cancel` `networkmanagement.operations.delete` `networkmanagement.operations.get` `networkmanagement.operations.list` `networkmanagement.topologygraphs.read` `networkmanagement.vpcflowlogsconfigs.create` `networkmanagement.vpcflowlogsconfigs.delete` `networkmanagement.vpcflowlogsconfigs.get` `networkmanagement.vpcflowlogsconfigs.list` `networkmanagement.vpcflowlogsconfigs.update` `resourcemanager.organizations.get` `resourcemanager.projects.get` `resourcemanager.projects.list`
GCP Network Management Service Agent (`roles/networkmanagement.serviceAgent`) Grants the GCP Network Management API the authority to complete analysis based on network configurations from Compute Engine and Container Engine. Warning: Do not grant service agent roles to any principals except service agents.	`cloudsql.instances.get` `cloudsql.instances.list` `compute.addresses.get` `compute.addresses.list` `compute.backendServices.get` `compute.backendServices.list` `compute.externalVpnGateways.get` `compute.externalVpnGateways.list` `compute.firewalls.get` `compute.firewalls.list` `compute.forwardingRules.get` `compute.forwardingRules.list` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalForwardingRules.get` `compute.globalForwardingRules.list` `compute.globalNetworkEndpointGroups.get` `compute.globalNetworkEndpointGroups.list` `compute.healthChecks.get` `compute.healthChecks.list` `compute.httpHealthChecks.get` `compute.httpHealthChecks.list` `compute.httpsHealthChecks.get` `compute.httpsHealthChecks.list` `compute.instanceGroups.get` `compute.instanceGroups.list` `compute.instances.get` `compute.instances.list` `compute.networkEndpointGroups.get` `compute.networkEndpointGroups.list` `compute.networks.get` `compute.networks.getEffectiveFirewalls` `compute.networks.list` `compute.networks.listPeeringRoutes` `compute.packetMirrorings.get` `compute.packetMirrorings.list` `compute.regionBackendServices.get` `compute.regionBackendServices.list` `compute.regionHealthChecks.get` `compute.regionHealthChecks.list` `compute.regionNetworkEndpointGroups.get` `compute.regionNetworkEndpointGroups.list` `compute.regionTargetHttpProxies.get` `compute.regionTargetHttpProxies.list` `compute.regionTargetHttpsProxies.get` `compute.regionTargetHttpsProxies.list` `compute.regionTargetTcpProxies.get` `compute.regionTargetTcpProxies.list` `compute.regionUrlMaps.get` `compute.regionUrlMaps.list` `compute.routers.get` `compute.routers.list` `compute.routes.get` `compute.routes.list` `compute.subnetworks.get` `compute.subnetworks.list` `compute.targetGrpcProxies.get` `compute.targetGrpcProxies.list` `compute.targetHttpProxies.get` `compute.targetHttpProxies.list` `compute.targetHttpsProxies.get` `compute.targetHttpsProxies.list` `compute.targetInstances.get` `compute.targetInstances.list` `compute.targetPools.get` `compute.targetPools.list` `compute.targetSslProxies.get` `compute.targetSslProxies.list` `compute.targetTcpProxies.get` `compute.targetTcpProxies.list` `compute.targetVpnGateways.get` `compute.targetVpnGateways.list` `compute.urlMaps.get` `compute.urlMaps.list` `compute.vpnGateways.get` `compute.vpnGateways.list` `compute.vpnTunnels.get` `compute.vpnTunnels.list` `container.clusters.get` `container.clusters.list` `container.nodes.get` `container.nodes.list`
Network Management Viewer (`roles/networkmanagement.viewer`) Read-only access to Network Management resources. Lowest-level resources where you can grant this role: Project	`networkmanagement.connectivitytests.get` `networkmanagement.connectivitytests.getIamPolicy` `networkmanagement.connectivitytests.list` `networkmanagement.locations.*` `networkmanagement.locations.get` `networkmanagement.locations.list` `networkmanagement.operations.get` `networkmanagement.operations.list` `networkmanagement.topologygraphs.read` `networkmanagement.vpcflowlogsconfigs.get` `networkmanagement.vpcflowlogsconfigs.list` `resourcemanager.organizations.get` `resourcemanager.projects.get` `resourcemanager.projects.list`

Network Management Admin

(roles/networkmanagement.admin)

Full access to Network Management resources.

Lowest-level resources where you can grant this role:

Project

networkmanagement.*

networkmanagement.connectivitytests.create
networkmanagement.connectivitytests.delete
networkmanagement.connectivitytests.get
networkmanagement.connectivitytests.getIamPolicy
networkmanagement.connectivitytests.list
networkmanagement.connectivitytests.rerun
networkmanagement.connectivitytests.setIamPolicy
networkmanagement.connectivitytests.update
networkmanagement.locations.get
networkmanagement.locations.list
networkmanagement.operations.cancel
networkmanagement.operations.delete
networkmanagement.operations.get
networkmanagement.operations.list
networkmanagement.topologygraphs.read
networkmanagement.vpcflowlogsconfigs.create
networkmanagement.vpcflowlogsconfigs.delete
networkmanagement.vpcflowlogsconfigs.get
networkmanagement.vpcflowlogsconfigs.list
networkmanagement.vpcflowlogsconfigs.update

resourcemanager.organizations.get

resourcemanager.projects.get

resourcemanager.projects.list

GCP Network Management Service Agent

(roles/networkmanagement.serviceAgent)

Grants the GCP Network Management API the authority to complete analysis based on network configurations from Compute Engine and Container Engine.

cloudsql.instances.get

cloudsql.instances.list

compute.addresses.get

compute.addresses.list

compute.backendServices.get

compute.backendServices.list

compute.externalVpnGateways.get

compute.externalVpnGateways.list

compute.firewalls.get

compute.firewalls.list

compute.forwardingRules.get

compute.forwardingRules.list

compute.globalAddresses.get

compute.globalAddresses.list

compute.globalForwardingRules.get

compute.globalForwardingRules.list

compute.globalNetworkEndpointGroups.get

compute.globalNetworkEndpointGroups.list

compute.healthChecks.get

compute.healthChecks.list

compute.httpHealthChecks.get

compute.httpHealthChecks.list

compute.httpsHealthChecks.get

compute.httpsHealthChecks.list

compute.instanceGroups.get

compute.instanceGroups.list

compute.instances.get

compute.instances.list

compute.networkEndpointGroups.get

compute.networkEndpointGroups.list

compute.networks.get

compute.networks.getEffectiveFirewalls

compute.networks.list

compute.networks.listPeeringRoutes

compute.packetMirrorings.get

compute.packetMirrorings.list

compute.regionBackendServices.get

compute.regionBackendServices.list

compute.regionHealthChecks.get

compute.regionHealthChecks.list

compute.regionNetworkEndpointGroups.get

compute.regionNetworkEndpointGroups.list

compute.regionTargetHttpProxies.get

compute.regionTargetHttpProxies.list

compute.regionTargetHttpsProxies.get

compute.regionTargetHttpsProxies.list

compute.regionTargetTcpProxies.get

compute.regionTargetTcpProxies.list

compute.regionUrlMaps.get

compute.regionUrlMaps.list

compute.routers.get

compute.routers.list

compute.routes.get

compute.routes.list

compute.subnetworks.get

compute.subnetworks.list

compute.targetGrpcProxies.get

compute.targetGrpcProxies.list

compute.targetHttpProxies.get

compute.targetHttpProxies.list

compute.targetHttpsProxies.get

compute.targetHttpsProxies.list

compute.targetInstances.get

compute.targetInstances.list

compute.targetPools.get

compute.targetPools.list

compute.targetSslProxies.get

compute.targetSslProxies.list

compute.targetTcpProxies.get

compute.targetTcpProxies.list

compute.targetVpnGateways.get

compute.targetVpnGateways.list

compute.urlMaps.get

compute.urlMaps.list

compute.vpnGateways.get

compute.vpnGateways.list

compute.vpnTunnels.get

compute.vpnTunnels.list

container.clusters.get

container.clusters.list

container.nodes.get

container.nodes.list

Network Management Viewer

(roles/networkmanagement.viewer)

Read-only access to Network Management resources.

Lowest-level resources where you can grant this role:

Project

networkmanagement.connectivitytests.get

networkmanagement.connectivitytests.getIamPolicy

networkmanagement.connectivitytests.list

networkmanagement.locations.*

networkmanagement.locations.get
networkmanagement.locations.list

networkmanagement.operations.get

networkmanagement.operations.list

networkmanagement.topologygraphs.read

networkmanagement.vpcflowlogsconfigs.get

networkmanagement.vpcflowlogsconfigs.list

resourcemanager.organizations.get

resourcemanager.projects.get

resourcemanager.projects.list

Peran khusus

Anda dapat membuat peran khusus dengan memilih daftar izin dari tabel izin untuk Uji Konektivitas.

Misalnya, Anda dapat membuat peran bernama reachabilityUsers, dan memberikan izin list, get, dan rerun ke peran ini. Pengguna dengan peran ini dapat menjalankan ulang Uji Konektivitas yang ada dan melihat hasil pengujian yang diperbarui berdasarkan konfigurasi jaringan terbaru.

Peran project

Anda dapat menggunakan peran project untuk menetapkan izin ke Google Cloud resource. Karena Uji Konektivitas harus memiliki akses baca ke konfigurasi resource di jaringan Virtual Private Cloud (VPC) Anda untuk menjalankan pengujian, Anda harus memberikan setidaknya peran Compute Network Viewer (roles/compute.networkViewer) kepada pengguna atau akun layanan yang menjalankan pengujian terhadap resource tersebut.Google Cloud Anda juga dapat membuat peran khusus atau memberikan otorisasi sementara izin yang terkait dengan peran sebelumnya untuk pengguna tertentu.

Atau, Anda dapat memberikan salah satu peran standar berikut kepada pengguna atau akun layanan untuk project Google Cloud :

project.viewer memiliki semua izin peran networkmanagement.viewer.
project.editor atau project.owner memiliki semua izin peran networkmanagement.admin.

Izin

Bagian ini menjelaskan izin untuk Uji Konektivitas dan cara menggunakannya saat menguji berbagai jenis konfigurasi jaringan.

Izin Uji Konektivitas

Uji Konektivitas memiliki izin IAM berikut.

Izin	Deskripsi
`networkmanagement.connectivitytests.list`	Mencantumkan semua pengujian yang dikonfigurasi dalam project yang ditentukan.
`networkmanagement.connectivitytests.get`	Mendapatkan detail pengujian tertentu.
`networkmanagement.connectivitytests.create`	Membuat objek pengujian baru dalam project yang ditentukan dengan data yang Anda tentukan untuk pengujian. Izin ini mencakup izin untuk memperbarui, menjalankan ulang, atau menghapus pengujian.
`networkmanagement.connectivitytests.update`	Memperbarui satu atau beberapa kolom dalam pengujian yang ada.
`networkmanagement.connectivitytests.delete`	Menghapus pengujian yang ditentukan.
`networkmanagement.connectivitytests.rerun`	Menjalankan kembali verifikasi kemampuan jangkauan satu kali untuk pengujian tertentu.

Jika Anda tidak memiliki izin untuk membuat atau memperbarui pengujian, tombol yang sesuai tidak aktif. Tombol ini mencakup tombol Buat uji konektivitas dan, di halaman Detail uji konektivitas, tombol Edit. Dalam setiap kasus, saat Anda mengarahkan kursor ke tombol tidak aktif, Uji Konektivitas akan menampilkan pesan yang menjelaskan izin yang Anda perlukan.

Izin untuk menjalankan pengujian

Anda memerlukan peran dan izin berikut untuk menjalankan pengujian:

Izin networkmanagement.connectivitytests.create (atau networkmanagement.connectivitytests.rerun) dalam project dengan resource Uji Konektivitas.
Peran Compute Network Viewer (roles/compute.networkViewer) atau peran Viewer (roles/viewer) lama ke semua project yang disertakan dalam jalur rekaman aktivitas.

Perhatikan pertimbangan tambahan berikut dengan berbagai jenis opsi konektivitas.

Konektivitas Peering Jaringan VPC, NCC, atau Cloud VPN

Jika jalur rekaman mencakup Peering Jaringan VPC, Network Connectivity Center, atau konektivitas Cloud VPN ke jaringan dalam project yang berbeda, jalur paket dalam jaringan tersebut hanya disimulasikan jika Anda memiliki izin ke project tersebut. Jika tidak, hasil pengujian yang tidak lengkap akan ditampilkan (misalnya, rekaman aktivitas yang berakhir dengan status akhir Forward).

Project VPC Bersama

Jika endpoint sumber atau tujuan (seperti instance virtual machine (VM)) menggunakan VPC Bersama, Anda harus memiliki izin untuk mengakses project host dan layanan.

Jika Anda memiliki izin untuk mengakses project host dan layanan, informasi rekaman aktivitas mencakup detail tentang semua resource yang relevan.
Jika Anda tidak memiliki izin untuk mengakses salah satu project, informasi tentang resource yang ditentukan dalam project ini akan disembunyikan dalam rekaman aktivitas. Error izin ditampilkan.

Contoh

Anda memiliki akses ke project instance VM (project layanan), tetapi tidak memiliki akses ke project jaringannya (project host). Jika Anda menjalankan pengujian dengan instance VM ini sebagai sumber (ditentukan berdasarkan nama), langkah-langkah yang terkait dengan project host (misalnya, menerapkan firewall atau rute) akan disembunyikan.
Anda memiliki akses ke project jaringan (project host), tetapi tidak memiliki akses ke project VM (project layanan). Jika Anda menjalankan pengujian dengan instance VM ini sebagai sumber (ditentukan oleh alamat IP-nya), langkah-langkah apa pun yang terkait dengan project layanan—misalnya, langkah dengan detail instance VM—akan disembunyikan.

Layanan yang dipublikasikan Private Service Connect

Jika paket ditujukan ke layanan yang dipublikasikan Private Service Connect (melalui endpoint Private Service Connect atau backend Private Service Connect), bagian rekaman aktivitas di project produsen hanya ditampilkan jika Anda memiliki akses ke project tersebut. Jika tidak, rekaman aktivitas akan berakhir dengan status akhir umum seperti Paket dikirim ke project produsen PSC atau Paket dibatalkan di dalam project produsen PSC.

Layanan yang dikelola Google

Jika paket dikirim ke atau dari jaringan yang dikelola Google yang terkait dengan layanan yang dikelola Google (seperti Cloud SQL), langkah-langkah di dalam project yang dikelola Google tidak akan ditampilkan. Langkah awal umum atau langkah akhir ditampilkan.

Alamat IP publik Google Cloud resource

Jika Anda menentukan alamat IP publik yang ditetapkan ke resource di salah satu project Anda sebagai sumber atau tujuan pengujian, tetapi tidak memiliki izin ke project tempat resource dengan alamat ini ditentukan, alamat IP ini dianggap sebagai alamat IP internet. Detail apa pun tentang jalur paket atau resource pokok setelah resource ini dicapai tidak akan ditampilkan.

Izin untuk melihat hasil pengujian

Untuk melihat hasil pengujian, perhatikan hal-hal berikut:

Untuk melihat hasil pengujian yang dibuat atau diperbarui setelah Oktober 2024, Anda hanya memerlukan izin untuk melihat resource pengujian (networkmanagement.connectivitytests.get); Anda tidak memerlukan izin untuk resource dan project yang disertakan dalam jalur rekaman aktivitas.
Untuk melihat hasil pengujian yang dijalankan sebelum Oktober 2024, Anda harus memiliki peran Compute Network Viewer atau peran Viewer lama (roles/viewer) untuk semua project yang disertakan dalam jalur rekaman aktivitas.

Kebijakan firewall hierarkis

Rekaman aktivitas Anda mungkin menyertakan kebijakan firewall hierarkis yang tidak dapat Anda lihat. Namun, meskipun Anda tidak memiliki izin untuk melihat detail kebijakan, Anda tetap dapat melihat aturan kebijakan yang berlaku untuk jaringan VPC Anda. Untuk mengetahui detailnya, lihat Peran IAM dalam ringkasan "Kebijakan firewall hierarkis".