本页面适用于 Apigee,但不适用于 Apigee Hybrid。
查看 Apigee Edge 文档。
本文档介绍了成功预配 Apigee 所需的 Google Cloud IAM 权限。
您可以使用以下方式指定权限:
Google Cloud 项目所有者角色
用于 Apigee 预配的 Google Cloud 项目的所有者有权执行所有基本 Apigee 预配步骤。
如果 Apigee 预配者不是项目所有者,请使用本文档确定执行每个预配步骤所需的权限。
如果您使用共享 Virtual Private Cloud (VPC) 网络,则还需要拥有共享 VPC 项目中的其他权限,本文档中也对此进行了介绍。
预定义角色
如果您只想确保 Apigee 管理员具有足够的权限来完成预配,请为 Apigee 管理员提供以下 IAM 预定义角色;但是,预定义角色可能会为 Apigee 管理员提供超出完成预配所需的权限。请参阅自定义角色和权限以提供所需的最小权限。
如何指定预定义角色
如需添加用户和角色,请执行以下操作:
在 Google Cloud 控制台中,进入您的项目的 IAM 和管理 > IAM。
- 如需添加新用户,请执行以下操作:
- 点击授予使用权限。
- 输入新的主账号名称。
- 点击选择角色菜单,然后在过滤条件字段中输入角色名称。例如
Apigee Organization Admin。点击结果中列出的角色。 - 点击保存。
- 如需修改现有用户,请执行以下操作:
- 点击 修改。
- 如需更改现有角色,请点击角色菜单,然后选择其他角色。
- 如需添加其他角色,请点击添加其他角色。
- 点击选择角色菜单,然后在过滤条件字段中输入角色名称。例如
Apigee Organization Admin。点击结果中列出的角色。 - 点击保存。
| 角色 | 适用的步骤 | 账号类型 | Purpose |
|---|---|---|---|
Apigee Organization Adminapigee.admin |
|
付费版和评估版 | 授予对所有 Apigee 资源功能的完全访问权限。 |
Service Usage Adminserviceusage.serviceUsageAdmin |
|
付费版和评估版 | 能够启用、停用和检查使用方项目的服务状态和操作,以及使用该项目的配额和结算服务。 |
Cloud KMS Admincloudkms.admin |
|
仅付费 | 创建 Cloud KMS 密钥和密钥环。 |
Compute Network Admincompute.networkAdmin |
|
付费版和评估版 | 列出计算区域,设置服务网络以及创建外部 HTTPS 负载均衡器。 |
自定义角色和权限
如需提供所需的最小权限,请在以下部分中创建 IAM 自定义角色并分配权限。
如何指定自定义角色
如需添加自定义角色,请执行以下操作:
在 Google Cloud 控制台中,进入您的项目的 IAM 和管理 > 角色。
- 如需添加新角色,请执行以下操作:
- 点击 Create role。
- 输入新标题。
- 输入说明(可选)。
- 输入 ID。
- 选择角色发布阶段。
- 点击添加权限。
- 从下表中复制所需的权限文本,并将其粘贴到过滤条件字段中。例如:
apigee.environments.create。 - 按 Enter,或点击搜索结果中的某个项。
- 选中您刚刚添加的项对应的复选框。
- 点击添加。
- 添加完此角色的所有权限后,请点击创建。
- 如需修改现有自定义角色,请执行以下操作:
- 找到自定义角色。
- 点击 更多 > 修改。
- 进行任何所需的更改。
- 点击更新。
基于界面的 Apigee 管理权限
通过 Cloud 控制台中的 Apigee 界面管理组织的所有用户都需要此权限。请将其包含在涉及通过该界面进行管理的自定义角色中。
| 角色 | 账号类型 | 用途 |
|---|---|---|
apigee.projectorganizations.get |
付费版和评估版 |
|
预配权限
开始预配 Apigee 需要以下权限:
| 角色 | 账号类型 | 用途 |
|---|---|---|
apigee.entitlements.getapigee.environments.createapigee.environments.getapigee.environments.listapigee.envgroups.createapigee.envgroups.getapigee.envgroups.listapigee.envgroups.updateapigee.envgroupattachments.createapigee.envgroupattachments.listapigee.instances.createapigee.instances.getapigee.instances.listapigee.instanceattachments.createapigee.instanceattachments.getapigee.instanceattachments.listapigee.operations.getapigee.operations.listapigee.organizations.createapigee.organizations.getapigee.organizations.updateapigee.projectorganizations.getapigee.projects.updateapigee.setupcontexts.getapigee.setupcontexts.update
|
付费版和评估版 |
|
API 启用权限
启用 Google Cloud API 需要以下权限:
| 角色 | 账号类型 | 用途 |
|---|---|---|
serviceusage.services.getserviceusage.services.enable |
付费版和评估版 | 启用 Google Cloud API |
组织创建权限(付费组织)
为付费账号(订阅或随用随付)创建 Apigee 组织需要以下权限:
| 权限 | 账号类型 | 用途 |
|---|---|---|
compute.regions.list |
仅付费 | 选择分析托管位置 |
cloudkms.cryptoKeys.listcloudkms.locations.listcloudkms.keyRings.list
|
仅付费 | 选择运行时数据库加密密钥 |
cloudkms.cryptoKeys.createcloudkms.keyRings.create |
仅付费 | 创建运行时数据库加密密钥 |
cloudkms.cryptoKeys.getIamPolicycloudkms.cryptoKeys.setIamPolicy |
仅付费 | 为 Apigee 服务账号授予使用加密密钥的权限 |
组织创建权限(评估组织)
为评估组织选择分析和运行时托管区域需要以下权限:
| 权限 | 账号类型 | 用途 |
|---|---|---|
compute.regions.list |
仅评估组织 | 选择分析和运行时托管区域 |
服务网络权限
服务网络配置步骤需要以下权限。 如果您使用的是共享 VPC 网络,请参阅使用共享 VPC 的服务网络权限。
| 权限 | 账号类型 | 用途 |
|---|---|---|
compute.globalAddresses.createInternalcompute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.networks.get
compute.networks.list
compute.networks.use
compute.projects.get
servicenetworking.operations.get
servicenetworking.services.addPeering
servicenetworking.services.get
|
付费版和评估版 | 在服务网络配置步骤中执行任务需要这些权限。 |
使用共享 VPC 的服务网络权限
如果您使用的是共享 Virtual Private Cloud (VPC) 网络,则具有共享 VPC 项目中的管理权限的用户必须将共享 VPC 项目与 Apigee 对等互连,如使用共享 VPC 网络中所述。必须先完成对等互连,然后 Apigee 管理员才能完成服务网络步骤。另请参阅管理员和 IAM。
正确设置共享 VPC 后,Apigee 管理员需要拥有以下权限才能完成服务网络配置步骤:
| 权限 | 账号类型 | 用途 |
|---|---|---|
compute.projects.get
|
付费版和评估版 | Apigee 管理员必须在安装了 Apigee 的项目中拥有此权限。 此权限允许管理员查看共享 VPC 宿主项目 ID。 |
| Compute Network User 角色 ( compute.networkUser) |
付费版和评估版 | 必须在共享 VPC 宿主项目中向 Apigee 管理员授予此角色。 此角色允许管理员在 Apigee 预配界面中查看和选择共享 VPC 网络。 |
运行时实例权限
创建运行时实例需要以下权限(仅限订阅和随用随付账号):
| 权限 | 账号类型 | 用途 |
|---|---|---|
compute.regions.list |
仅付费 | 选择运行时托管位置 |
cloudkms.cryptoKeys.listcloudkms.locations.listcloudkms.keyRings.list
|
仅付费 | 选择运行时磁盘加密密钥 |
cloudkms.cryptoKeys.createcloudkms.keyRings.create |
仅付费 | 创建运行时磁盘加密密钥 |
cloudkms.cryptoKeys.getIamPolicycloudkms.cryptoKeys.setIamPolicy |
仅付费 | 为 Apigee 服务账号授予使用加密密钥的权限 |
访问路由权限
访问路由步骤需要以下权限:
| 权限 | 账号类型 | 用途 |
|---|---|---|
compute.autoscalers.createcompute.backendServices.createcompute.backendServices.usecompute.disks.createcompute.globalAddresses.createcompute.globalAddresses.getcompute.globalAddresses.listcompute.globalAddresses.usecompute.globalForwardingRules.createcompute.globalOperations.getcompute.firewalls.createcompute.firewalls.getcompute.healthChecks.createcompute.healthChecks.useReadOnlycompute.images.getcompute.images.useReadOnlycompute.instances.createcompute.instances.setMetadatacompute.instanceGroups.usecompute.instanceGroupManagers.createcompute.instanceGroupManagers.usecompute.instanceTemplates.getcompute.instanceTemplates.createcompute.instanceTemplates.useReadOnlycompute.networks.getcompute.networks.listcompute.networks.updatePolicycompute.networks.usecompute.regionOperations.getcompute.regionNetworkEndpointGroups.createcompute.regionNetworkEndpointGroups.usecompute.sslCertificates.createcompute.sslCertificates.getcompute.subnetworks.getcompute.subnetworks.listcompute.subnetworks.setPrivateIpGoogleAccesscompute.subnetworks.usecompute.targetHttpsProxies.createcompute.targetHttpsProxies.usecompute.urlMaps.createcompute.urlMaps.use
|
付费版和评估版 | 配置基本访问路由 |
使用共享 VPC 的访问路由权限
如果您使用的是共享 Virtual Private Cloud (VPC) 网络,请注意您必须先完成共享 VPC 配置和对等互连,然后才能执行访问路由步骤。
正确设置共享 VPC 后,Apigee 管理员需要具有共享 VPC 项目中的 compute.networkUser 角色才能完成访问路由步骤。另请参阅共享 VPC 所需的管理角色。