תפקידים והרשאות

בדף הזה מוסבר על התפקידים וההרשאות בניהול הזהויות והרשאות הגישה (IAM) שנדרשים להפעלת בדיקות קישוריות.

אתם יכולים להעניק למשתמשים או לחשבונות שירות הרשאות או תפקידים מוגדרים מראש, או ליצור תפקיד בהתאמה אישית שמשתמש בהרשאות שאתם מציינים.

ההרשאות ב-IAM מתחילות בקידומת networkmanagement.

כדי לקבל או להגדיר מדיניות IAM, או כדי לבדוק הרשאות IAM באמצעות Network Management API, אפשר לעיין במאמר בנושא ניהול מדיניות גישה.

תפקידים

בקטע הזה מוסבר איך להשתמש בתפקידים מוגדרים מראש ובתפקידים בהתאמה אישית כשמעניקים הרשאות לבדיקות קישוריות.

בטבלת ההרשאות מוסבר מהי כל הרשאה.

מידע נוסף על תפקידים ומשאבים בפרויקטים זמין במאמרים הבאים: Google Cloud

תפקידים מוגדרים מראש

בכלי לבדיקת קישוריות יש את התפקידים המוגדרים מראש הבאים:

למשתמש networkmanagement.admin יש הרשאה לבצע את כל הפעולות במשאב בדיקה.
‫networkmanagement.viewer יש הרשאה לרשום או לקבל משאב בדיקה ספציפי.

בטבלה הבאה מפורטים התפקידים שמוגדרים מראש וההרשאות שחלות על כל תפקיד.

Role Permissions

Role	Permissions
Network Management Admin (`roles/networkmanagement.admin`) Full access to Network Management resources. Lowest-level resources where you can grant this role: Project	`networkmanagement.*` `networkmanagement.connectivitytests.create` `networkmanagement.connectivitytests.delete` `networkmanagement.connectivitytests.get` `networkmanagement.connectivitytests.getIamPolicy` `networkmanagement.connectivitytests.list` `networkmanagement.connectivitytests.rerun` `networkmanagement.connectivitytests.setIamPolicy` `networkmanagement.connectivitytests.update` `networkmanagement.locations.get` `networkmanagement.locations.list` `networkmanagement.operations.cancel` `networkmanagement.operations.delete` `networkmanagement.operations.get` `networkmanagement.operations.list` `networkmanagement.topologygraphs.read` `networkmanagement.vpcflowlogsconfigs.create` `networkmanagement.vpcflowlogsconfigs.delete` `networkmanagement.vpcflowlogsconfigs.get` `networkmanagement.vpcflowlogsconfigs.list` `networkmanagement.vpcflowlogsconfigs.update` `resourcemanager.organizations.get` `resourcemanager.projects.get` `resourcemanager.projects.list`
GCP Network Management Service Agent (`roles/networkmanagement.serviceAgent`) Grants the GCP Network Management API the authority to complete analysis based on network configurations from Compute Engine and Container Engine. Warning: Do not grant service agent roles to any principals except service agents.	`cloudsql.instances.get` `cloudsql.instances.list` `compute.addresses.get` `compute.addresses.list` `compute.backendServices.get` `compute.backendServices.list` `compute.externalVpnGateways.get` `compute.externalVpnGateways.list` `compute.firewalls.get` `compute.firewalls.list` `compute.forwardingRules.get` `compute.forwardingRules.list` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalForwardingRules.get` `compute.globalForwardingRules.list` `compute.globalNetworkEndpointGroups.get` `compute.globalNetworkEndpointGroups.list` `compute.healthChecks.get` `compute.healthChecks.list` `compute.httpHealthChecks.get` `compute.httpHealthChecks.list` `compute.httpsHealthChecks.get` `compute.httpsHealthChecks.list` `compute.instanceGroups.get` `compute.instanceGroups.list` `compute.instances.get` `compute.instances.list` `compute.networkEndpointGroups.get` `compute.networkEndpointGroups.list` `compute.networks.get` `compute.networks.getEffectiveFirewalls` `compute.networks.list` `compute.networks.listPeeringRoutes` `compute.packetMirrorings.get` `compute.packetMirrorings.list` `compute.regionBackendServices.get` `compute.regionBackendServices.list` `compute.regionHealthChecks.get` `compute.regionHealthChecks.list` `compute.regionNetworkEndpointGroups.get` `compute.regionNetworkEndpointGroups.list` `compute.regionTargetHttpProxies.get` `compute.regionTargetHttpProxies.list` `compute.regionTargetHttpsProxies.get` `compute.regionTargetHttpsProxies.list` `compute.regionTargetTcpProxies.get` `compute.regionTargetTcpProxies.list` `compute.regionUrlMaps.get` `compute.regionUrlMaps.list` `compute.routers.get` `compute.routers.list` `compute.routes.get` `compute.routes.list` `compute.subnetworks.get` `compute.subnetworks.list` `compute.targetGrpcProxies.get` `compute.targetGrpcProxies.list` `compute.targetHttpProxies.get` `compute.targetHttpProxies.list` `compute.targetHttpsProxies.get` `compute.targetHttpsProxies.list` `compute.targetInstances.get` `compute.targetInstances.list` `compute.targetPools.get` `compute.targetPools.list` `compute.targetSslProxies.get` `compute.targetSslProxies.list` `compute.targetTcpProxies.get` `compute.targetTcpProxies.list` `compute.targetVpnGateways.get` `compute.targetVpnGateways.list` `compute.urlMaps.get` `compute.urlMaps.list` `compute.vpnGateways.get` `compute.vpnGateways.list` `compute.vpnTunnels.get` `compute.vpnTunnels.list` `container.clusters.get` `container.clusters.list` `container.nodes.get` `container.nodes.list`
Network Management Viewer (`roles/networkmanagement.viewer`) Read-only access to Network Management resources. Lowest-level resources where you can grant this role: Project	`networkmanagement.connectivitytests.get` `networkmanagement.connectivitytests.getIamPolicy` `networkmanagement.connectivitytests.list` `networkmanagement.locations.*` `networkmanagement.locations.get` `networkmanagement.locations.list` `networkmanagement.operations.get` `networkmanagement.operations.list` `networkmanagement.topologygraphs.read` `networkmanagement.vpcflowlogsconfigs.get` `networkmanagement.vpcflowlogsconfigs.list` `resourcemanager.organizations.get` `resourcemanager.projects.get` `resourcemanager.projects.list`

Network Management Admin

(roles/networkmanagement.admin)

Full access to Network Management resources.

Lowest-level resources where you can grant this role:

Project

networkmanagement.*

networkmanagement.connectivitytests.create
networkmanagement.connectivitytests.delete
networkmanagement.connectivitytests.get
networkmanagement.connectivitytests.getIamPolicy
networkmanagement.connectivitytests.list
networkmanagement.connectivitytests.rerun
networkmanagement.connectivitytests.setIamPolicy
networkmanagement.connectivitytests.update
networkmanagement.locations.get
networkmanagement.locations.list
networkmanagement.operations.cancel
networkmanagement.operations.delete
networkmanagement.operations.get
networkmanagement.operations.list
networkmanagement.topologygraphs.read
networkmanagement.vpcflowlogsconfigs.create
networkmanagement.vpcflowlogsconfigs.delete
networkmanagement.vpcflowlogsconfigs.get
networkmanagement.vpcflowlogsconfigs.list
networkmanagement.vpcflowlogsconfigs.update

resourcemanager.organizations.get

resourcemanager.projects.get

resourcemanager.projects.list

GCP Network Management Service Agent

(roles/networkmanagement.serviceAgent)

Grants the GCP Network Management API the authority to complete analysis based on network configurations from Compute Engine and Container Engine.

cloudsql.instances.get

cloudsql.instances.list

compute.addresses.get

compute.addresses.list

compute.backendServices.get

compute.backendServices.list

compute.externalVpnGateways.get

compute.externalVpnGateways.list

compute.firewalls.get

compute.firewalls.list

compute.forwardingRules.get

compute.forwardingRules.list

compute.globalAddresses.get

compute.globalAddresses.list

compute.globalForwardingRules.get

compute.globalForwardingRules.list

compute.globalNetworkEndpointGroups.get

compute.globalNetworkEndpointGroups.list

compute.healthChecks.get

compute.healthChecks.list

compute.httpHealthChecks.get

compute.httpHealthChecks.list

compute.httpsHealthChecks.get

compute.httpsHealthChecks.list

compute.instanceGroups.get

compute.instanceGroups.list

compute.instances.get

compute.instances.list

compute.networkEndpointGroups.get

compute.networkEndpointGroups.list

compute.networks.get

compute.networks.getEffectiveFirewalls

compute.networks.list

compute.networks.listPeeringRoutes

compute.packetMirrorings.get

compute.packetMirrorings.list

compute.regionBackendServices.get

compute.regionBackendServices.list

compute.regionHealthChecks.get

compute.regionHealthChecks.list

compute.regionNetworkEndpointGroups.get

compute.regionNetworkEndpointGroups.list

compute.regionTargetHttpProxies.get

compute.regionTargetHttpProxies.list

compute.regionTargetHttpsProxies.get

compute.regionTargetHttpsProxies.list

compute.regionTargetTcpProxies.get

compute.regionTargetTcpProxies.list

compute.regionUrlMaps.get

compute.regionUrlMaps.list

compute.routers.get

compute.routers.list

compute.routes.get

compute.routes.list

compute.subnetworks.get

compute.subnetworks.list

compute.targetGrpcProxies.get

compute.targetGrpcProxies.list

compute.targetHttpProxies.get

compute.targetHttpProxies.list

compute.targetHttpsProxies.get

compute.targetHttpsProxies.list

compute.targetInstances.get

compute.targetInstances.list

compute.targetPools.get

compute.targetPools.list

compute.targetSslProxies.get

compute.targetSslProxies.list

compute.targetTcpProxies.get

compute.targetTcpProxies.list

compute.targetVpnGateways.get

compute.targetVpnGateways.list

compute.urlMaps.get

compute.urlMaps.list

compute.vpnGateways.get

compute.vpnGateways.list

compute.vpnTunnels.get

compute.vpnTunnels.list

container.clusters.get

container.clusters.list

container.nodes.get

container.nodes.list

Network Management Viewer

(roles/networkmanagement.viewer)

Read-only access to Network Management resources.

Lowest-level resources where you can grant this role:

Project

networkmanagement.connectivitytests.get

networkmanagement.connectivitytests.getIamPolicy

networkmanagement.connectivitytests.list

networkmanagement.locations.*

networkmanagement.locations.get
networkmanagement.locations.list

networkmanagement.operations.get

networkmanagement.operations.list

networkmanagement.topologygraphs.read

networkmanagement.vpcflowlogsconfigs.get

networkmanagement.vpcflowlogsconfigs.list

resourcemanager.organizations.get

resourcemanager.projects.get

resourcemanager.projects.list

תפקידים בהתאמה אישית

אפשר ליצור תפקידים בהתאמה אישית על ידי בחירת רשימת הרשאות מטבלת ההרשאות של בדיקות הקישוריות.

לדוגמה, אפשר ליצור תפקיד בשם reachabilityUsers ולהעניק לו את ההרשאות list, get ו-rerun. משתמש עם התפקיד הזה יכול להריץ מחדש בדיקות קישוריות קיימות ולראות תוצאות בדיקה מעודכנות על סמך הגדרות הרשת העדכניות.

תפקידים בפרויקט

אתם יכולים להשתמש בתפקידים בפרויקט כדי להגדיר הרשאות למשאבים. Google Cloud כדי להריץ בדיקה, לכלי לבדיקות קישוריות צריכה להיות גישת קריאה לGoogle Cloud הגדרות המשאבים ברשת VPC שלכם. לכן, אתם צריכים להעניק לפחות את התפקיד Compute Network Viewer‏ (roles/compute.networkViewer) למשתמשים או לחשבונות שירות שמריצים בדיקה מול המשאבים האלה. אפשר גם ליצור תפקיד בהתאמה אישית או להעניק הרשאות שמשויכות לתפקיד הקודם למשתמש ספציפי באופן זמני.

לחלופין, אפשר להעניק למשתמש או לחשבון שירות אחד מהתפקידים המוגדרים מראש הבאים לפרויקטים של Google Cloud :

project.viewer יש את כל ההרשאות של התפקיד networkmanagement.viewer.
project.editor או project.owner כוללים את כל ההרשאות של התפקיד networkmanagement.admin.

הרשאות

בסעיף הזה מתוארות ההרשאות של בדיקות קישוריות ומוסבר איך להשתמש בהן כשבודקים סוגים שונים של הגדרות רשת.

הרשאות לבדיקות קישוריות

לכלי לבדיקת קישוריות יש את הרשאות ה-IAM הבאות.

הרשאה	תיאור
`networkmanagement.connectivitytests.list`	מציג רשימה של כל הבדיקות שהוגדרו בפרויקט שצוין.
`networkmanagement.connectivitytests.get`	הפונקציה מחזירה את הפרטים של בדיקה ספציפית.
`networkmanagement.connectivitytests.create`	יוצרת אובייקט בדיקה חדש בפרויקט שצוין עם הנתונים שצוינו לבדיקה. ההרשאה הזו כוללת הרשאה לעדכן, להריץ מחדש או למחוק בדיקות.
`networkmanagement.connectivitytests.update`	מעדכן שדה אחד או יותר בבדיקה קיימת.
`networkmanagement.connectivitytests.delete`	מחיקת הבדיקה שצוינה.
`networkmanagement.connectivitytests.rerun`	מריצים מחדש אימות חד-פעמי של הנגישות לבדיקה שצוינה.

אם אין לכם הרשאה ליצור או לעדכן בדיקה, הלחצנים המתאימים לא פעילים. הלחצנים האלה כוללים את הלחצן יצירת בדיקת קישוריות ובדף פרטי בדיקת הקישוריות את הלחצן עריכה. בכל מקרה, כשמעבירים את מצביע העכבר מעל הכפתור הלא פעיל, הכלי לבדיקת הקישוריות מציג הודעה עם תיאור של ההרשאה שצריך לתת.

הרשאות להרצת בדיקה

כדי להריץ בדיקה, אתם צריכים את התפקידים וההרשאות הבאים:

ההרשאה networkmanagement.connectivitytests.create (או networkmanagement.connectivitytests.rerun) בפרויקט עם משאב של בדיקות קישוריות.
התפקיד Compute Network Viewer (roles/compute.networkViewer) או התפקיד Viewer (roles/viewer) מהדור הקודם לכל הפרויקטים שכלולים בנתיב המעקב.

שימו לב לשיקולים הנוספים הבאים לגבי סוגים שונים של אפשרויות קישוריות.

קישור בין רשתות VPC שכנות (peering), קישוריות של NCC או Cloud VPN

אם נתיב המעקב כולל קישור (peering) בין רשתות VPC שכנות, Network Connectivity Center או קישוריות Cloud VPN לרשת בפרויקט אחר, סימולציה של נתיב מנות ברשת הזו מתבצעת רק אם יש לכם הרשאות לפרויקט הזה. אחרת, מוחזרת תוצאת בדיקה לא מלאה (לדוגמה, מעקב שמסתיים במצב הסופי העברה).

פרויקטים של VPC משותף

אם נקודת קצה של מקור או יעד (כמו מכונה וירטואלית (VM)) משתמשת ב-VPC משותף, אתם צריכים הרשאה לגשת גם לפרויקט המארח וגם לפרויקט השירות.

אם יש לכם הרשאה לגשת גם לפרויקט המארח וגם לפרויקט השירות, פרטי המעקב כוללים פרטים על כל המשאבים הרלוונטיים.
אם אין לכם הרשאה לגשת לאחד הפרויקטים, המידע על המשאבים שמוגדרים בפרויקט הזה מוסתר בנתוני המעקב. מוצגת שגיאת הרשאה.

דוגמאות

יש לכם גישה לפרויקט של המכונה הווירטואלית (פרויקט שירות), אבל אין לכם גישה לפרויקט הרשת שלה (פרויקט מארח). אם מריצים בדיקה עם מכונת ה-VM הזו כמקור (שמצוין לפי השם), כל השלבים שמשויכים לפרויקט המארח (לדוגמה, החלת חומות אש או מסלולים) מוסתרים.
יש לכם גישה לפרויקט הרשת (פרויקט מארח), אבל אין לכם גישה לפרויקט של המכונה הווירטואלית (פרויקט שירות). אם מריצים בדיקה עם מכונת ה-VM הזו כמקור (שמצוין על ידי כתובת ה-IP שלה), כל השלבים שמשויכים לפרויקט השירות – למשל, שלב עם פרטי מכונת ה-VM – מוסתרים.

שירותים שפורסמו ב-Private Service Connect

אם החבילה מועברת לשירות שפורסם ב-Private Service Connect (דרך נקודת קצה של Private Service Connect או קצה עורפי של Private Service Connect), החלק של המעקב בפרויקט של הספק מוצג רק אם יש לכם גישה אליו. אחרת, ה-trace מסתיים במצב סופי כללי כמו Packet delivered to the PSC producer project או Packet dropped inside the PSC producer project.

שירותים מנוהלים של Google

אם החבילה מגיעה לרשת שמנוהלת על ידי Google או יוצאת ממנה, שמשויכת לשירות שמנוהל על ידי Google (כמו Cloud SQL), השלבים בתוך הפרויקט שמנוהל על ידי Google לא מוצגים. מוצג שלב התחלתי כללי או שלב סופי.

כתובות IP ציבוריות של משאבים Google Cloud

אם מציינים כתובת IP ציבורית שהוקצתה למשאב באחד מהפרויקטים שלכם כמקור או כיעד לבדיקה, אבל אין לכם הרשאות לפרויקט שבו מוגדר המשאב עם הכתובת הזו, כתובת ה-IP הזו נחשבת לכתובת IP באינטרנט. לא מוצגים פרטים על משאב הבסיס או על נתיב החבילה אחרי שמגיעים למשאב הזה.

הרשאות לצפייה בתוצאות הבדיקה

כדי לראות את תוצאות הבדיקה, חשוב לשים לב לנקודות הבאות:

כדי לראות את התוצאות של בדיקות שנוצרו או עודכנו אחרי אוקטובר 2024, צריך רק הרשאה לצפייה במשאב הבדיקה (networkmanagement.connectivitytests.get). לא צריך הרשאות למשאבים ולפרויקטים שנכללים בנתיב המעקב.
כדי לראות את תוצאות הבדיקות שהופעלו לפני אוקטובר 2024, צריך להיות לכם התפקיד Compute Network Viewer או התפקיד Viewer (roles/viewer) לכל הפרויקטים שנכללים בנתיב המעקב.

מדיניות היררכית של חומת אש

יכול להיות שהמעקב יכלול מדיניות חומת אש היררכית שאין לכם הרשאה לצפות בה. עם זאת, גם אם אין לכם הרשאה לראות את פרטי המדיניות, עדיין תוכלו לראות את כללי המדיניות שחלים על רשת ה-VPC. לפרטים, ראו תפקידי IAM בסקירה הכללית בנושא 'מדיניות חומת אש היררכית'.