Esta página se aplica à Apigee e à Apigee híbrida.
Confira a documentação da Apigee Edge.
Um usuário representa uma conta autenticada que pode acessar uma organização e as entidades dentro dela, como ambientes, proxies de API e keystores.
Para adicionar um novo usuário à sua organização da Apigee, primeiro conceda acesso à conta dele no projeto do Cloud e depois na IU da Apigee. Neste documento, os termos usuário e conta do usuário são intercambiáveis.
Ao adicionar um novo usuário, você normalmente faz o seguinte:
- No console, atribua o novo usuário a um ou mais papéis no seu projeto do Cloud. Dessa forma, o usuário tem acesso amplo a todos os ambientes da organização.
Para mais informações, consulte Como gerenciar o acesso no Console.
- Na IU da Apigee, conceda papéis de usuário adicionais em um ou mais ambientes da sua organização da Apigee. Observe que os papéis de usuário com escopo de ambiente não substituem
os papéis concedidos no nível do Google Cloud, eles são aditivos.
Para mais informações, consulte Gerenciar usuários na IU da Apigee.
Sobre os papéis
Os recursos que você concede à conta de usuário dependem do tipo de papel
atribuído a eles. Um papel representa um conjunto de permissões.
Não é possível conceder uma permissão ao usuário diretamente. Em vez disso, você concede a eles um papel. Por
exemplo, é possível atribuir um desenvolvedor ao papel de API Admin
para que
ele possa criar proxies de API, KVM e fluxos compartilhados. Para alguém que implantará
proxies, atribua o papel de Environment Admin
, que concede a capacidade de
implantar e remover a implantação de revisões de proxy de API. Para detalhes sobre todos os papéis da Apigee, consulte
Papéis da Apigee.
Além disso, os recursos que um usuário pode acessar com base no papel dependem de onde você atribuiu o papel:
- Projeto do Google Cloud: se você atribuir um papel no Console do Cloud (no projeto do Cloud),
o usuário poderá acessar todos os recursos da Apigee, todos os ambientes e recursos dentro
deles, nesse papel. Isso ocorre porque o projeto do Cloud é o pai
da IU da Apigee na hierarquia de recursos. As permissões definidas no pai (o projeto
do Cloud) são herdadas por todos os filhos (ambientes). É possível refinar esse acesso
especificando os papéis de usuário por ambiente na IU da Apigee.
O controle de acesso no Google Cloud Platform é feito com o gerenciamento de identidade e acesso (IAM). O IAM permite que você defina permissões especificando quem tem que tipo de acesso a quais recursos do projeto. Para mais informações, consulte Conceitos relacionados à identidade.
Os usuários são um tipo de principal, um termo amplo que se refere a uma identidade que pode receber acesso a recursos. Outros tipos de principais do Cloud incluem contas de serviço, Grupos do Google e domínios do G Suite. Para mais informações, consulte esta visão geral do Cloud Identity and Access Management.
- Acesso ao ambiente: conceder um papel de usuário a um ambiente específico não substitui papéis definidos no nível do projeto do Google Cloud. No nível do ambiente, os papéis concedidos a um usuário são representados como uma união com todos os papéis do Cloud atribuídos a ele.
Por exemplo, se você definir um usuário como API Admin
no projeto do Cloud, ele vai ter acesso, como API Admin
, a todos os ambientes da organização.
Recomendações de papéis
A Apigee recomenda que você faça o seguinte para cada nova conta de usuário adicionada. (Essas etapas não são necessárias ao adicionar superusuários ou administradores.)
- No Console do Cloud, adicione a nova conta de usuário e selecione um papel com um conjunto mínimo de
permissões. Por exemplo, defina o papel de um novo usuário como
API Admin
. - Na visualização Acesso ao ambiente da IU da Apigee, adicione o usuário e defina os funções do usuário adicionais para cada ambiente na organização, conforme descrito em Gerenciar usuários. Observe que os papéis com escopo de ambiente definidos na IU da Apigee não substituem os papéis definidos no nível do Google Cloud. Eles são aditivos.