授予访问权限

作为 hub 管理员,您可以为特定用户授予在与 hub 关联的其他项目中创建 spoke 的权限,并保留对 hub 中接受的 spoke 的完全控制权。Spoke 在您明确接受之前不会变为活跃状态。如有必要,您还可以随时拒绝 spoke。

如需为其他用户授予在与 hub 关联的其他项目中创建 spoke 的权限,您可以向该用户授予 roles/networkconnectivity.groupUser 角色。具有 hub 的 groupUser 角色的用户会通过 Identity and Access Management (IAM) 资源层次结构自动让所有群组在此 hub 中具有该角色。作为 hub 管理员,您还可以撤消用户的访问权限。

须知事项

开始之前,请查看以下部分。

创建或选择项目

为了更轻松地配置 Network Connectivity Center,请先确定有效项目。

  1. 登录您的 Google Cloud 账号。如果您是 Google Cloud 新手,请创建一个账号来评估我们的产品在实际场景中的表现。新客户还可获享 $300 赠金,用于运行、测试和部署工作负载。

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. 确保您的 Google Cloud 项目已启用结算功能

  4. 安装 Google Cloud CLI。

  5. 如需初始化 gcloud CLI,请运行以下命令: 

    gcloud init
    6.

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. 确保您的 Google Cloud 项目已启用结算功能

  8. 安装 Google Cloud CLI。

  9. 如需初始化 gcloud CLI,请运行以下命令: 

    gcloud init
    10.

  1. 如果您使用的是 Google Cloud CLI,请使用 gcloud config set 命令设置项目 ID。

    gcloud config set project PROJECT_ID

    PROJECT_ID 替换为您的唯一项目 ID。

    此页面上的 gcloud CLI 说明假定您已设置项目 ID。

  1. 如需确认您正确设置了项目 ID,请使用 gcloud config list 命令

    gcloud config list --format='text(core.project)'

启用 Network Connectivity API

您必须先启用 Network Connectivity API,然后才能使用 Network Connectivity Center 执行任何任务。

控制台

如要启用 Network Connectivity API,请执行以下操作:

  1. 在 Google Cloud 控制台中,转到 Network Connectivity Center 页面。

    转到 Network Connectivity Center

  2. 点击启用

或者,您可以使用 Google Cloud 控制台 API 库来启用 API,如启用 API 中所述。

管理跨项目在 hub 中创建 spoke 的权限

以下部分介绍了如何授予、撤消或查看在与 hub 所属的不同项目中创建 spoke 的权限。

向其他用户授予 hub 的 groupUser 角色

如需向其他用户授予 hub 的 networkconnectivity.groupUser 角色,请按照以下步骤操作。

控制台

  1. 在 Google Cloud 控制台中,转到 Network Connectivity Center 页面。

    转到 Network Connectivity Center

  2. 在项目菜单中,选择一个项目。

  3. 点击 Hub 标签页。

  4. 在 hub 列表中,选择您要添加其访问权限的 hub。

  5. 点击权限

  6. 权限对话框中,点击添加主账号

  7. 输入您要添加的管理员的用户名。

  8. 管理角色对话框的 Network Connectivity 角色列表中,选择您要分配的角色,例如 Spoke Admin

  9. 点击保存

gcloud

运行 gcloud network-connectivity hubs add-iam-policy-binding 命令

gcloud network-connectivity hubs add-iam-policy-binding HUB_NAME \
    --member=MEMBER_DETAILS \
    --role='roles/networkconnectivity.groupUser'

请替换以下内容:

  • HUB_NAME:spoke 的 hub,例如 my-hub
  • MEMBER_DETAILS:您要向其授予访问权限的用户的详细信息。如需详细了解标识符和格式,请参阅主账号标识符

撤消用户对 hub 的 groupUser 角色

如需撤消用户对 hub 的 roles/networkconnectivity.groupUser 角色,请按照以下步骤操作。

gcloud

运行 gcloud network-connectivity hubs remove-iam-policy-binding 命令

gcloud network-connectivity hubs remove-iam-policy-binding HUB_NAME \
    --member=MEMBER_DETAILS \
    --role='roles/networkconnectivity.groupUser'

请替换以下内容:

  • HUB_NAME:spoke 的 hub,例如 my-hub
  • MEMBER_DETAILS:您要移除其访问权限的用户的详细信息。如需详细了解标识符和格式,请参阅主账号标识符

查看用户的权限

如需查看已向用户授予的 hub 的权限,请按照以下步骤操作。

gcloud

运行 gcloud network-connectivity hubs get-iam-policy 命令

gcloud network-connectivity hubs get-iam-policy HUB_NAME

HUB_NAME 替换为您要查看其权限的 hub 的名称,例如 my-hub

后续步骤