Cette page s'applique à Apigee, mais pas à Apigee hybrid.
Consultez la documentation d' Apigee Edge.
Ce document décrit les autorisations Google Cloud IAM requises pour provisionner Apigee.
Vous pouvez spécifier des autorisations à l'aide des éléments suivants :
- Rôles prédéfinis : vous devez accorder des autorisations suffisantes pour effectuer les étapes de provisionnement. Les rôles prédéfinis peuvent accorder à l'administrateur Apigee plus d'autorisations que nécessaire pour effectuer le provisionnement.
- Rôles personnalisés : fournissez le moindre privilège nécessaire pour effectuer les étapes de provisionnement.
Rôle Propriétaire du projet Google Cloud
Le propriétaire du projet Google Cloud utilisé pour le provisionnement Apigee est déjà autorisé à effectuer toutes les étapes de provisionnement de base d'Apigee.
Si l'approvisionneur Apigee n'est pas le propriétaire du projet, utilisez ce document pour déterminer les autorisations nécessaires pour effectuer chacune des étapes de provisionnement.
Si vous utilisez un réseau VPC (Virtual Private Cloud, cloud privé virtuel) partagé, des autorisations supplémentaires sont requises dans le projet de VPC partagé. Ces cas sont également mentionnés dans ce document.
Rôles prédéfinis
Si vous souhaitez simplement vous assurer que l'administrateur Apigee est autorisé à effectuer le provisionnement, attribuez à l'administrateur Apigee les rôles IAM prédéfinis suivants. Toutefois, les rôles prédéfinis peuvent accorder à l'administrateur Apigee plus d'autorisations que nécessaire pour effectuer le provisionnement. Consultez la section Rôles et autorisations personnalisés pour fournir les moindres privilèges nécessaires.
Spécifier un rôle prédéfini
Pour ajouter des utilisateurs et des rôles :
Dans la console Google Cloud, accédez à IAM et administration > IAM pour votre projet.
- Pour ajouter un compte utilisateur, procédez comme suit :
- Cliquez sur Accorder l'accès.
- Saisissez un nouveau nom pour le Compte principal.
- Cliquez sur le menu Sélectionner un rôle, puis saisissez le nom du rôle dans le champ Filtre. Par exemple :
Apigee Organization Admin
. Cliquez sur le rôle répertorié dans les résultats. - Cliquez sur Save (Enregistrer).
- Pour modifier les informations associées à un utilisateur existant, procédez comme suit :
- Cliquez sur Modifier.
- Pour modifier un rôle existant, cliquez sur le menu Rôle, puis sélectionnez un autre rôle.
- Pour ajouter un autre rôle, cliquez sur Ajouter un autre rôle.
- Cliquez sur le menu Sélectionner un rôle, puis saisissez le nom du rôle dans le champ Filtre. Par exemple :
Apigee Organization Admin
. Cliquez sur le rôle répertorié dans les résultats. - Cliquez sur Save (Enregistrer).
Rôle | Obligatoire pour les étapes | Type de compte | Objectif |
---|---|---|---|
Administrateur de l'organisation Apigeeapigee.admin |
|
Payant et d'évaluation | Accès complet à toutes les fonctionnalités des ressources Apigee |
Administrateur Service Usageserviceusage.serviceUsageAdmin |
|
Payant et d'évaluation | Possibilité d'activer, de désactiver et d'inspecter les états de service ; d'inspecter les opérations ; et de consommer les quotas et la facturation pour un projet destiné au consommateur. |
Administrateur Cloud KMScloudkms.admin |
|
Payant uniquement | Création de clés et de trousseaux de clés Cloud KMS |
Administrateur de réseaux Computecompute.networkAdmin |
|
Payant et d'évaluation | Répertoriez les régions Compute, configurer la mise en réseau de services et créer l'équilibreur de charge HTTPS externe. |
Rôles et autorisations personnalisés
Pour fournir les moindres privilèges nécessaires, créez un rôle personnalisé IAM et attribuez les autorisations présentées dans les sections suivantes.
Spécifier un rôle personnalisé
Pour ajouter un rôle personnalisé, procédez comme suit :
Dans la console Google Cloud, accédez à IAM et administration > Rôles pour votre projet.
- Pour ajouter un rôle, procédez comme suit :
- Cliquez sur Créer un rôle.
- Saisissez un nouveau titre.
- Saisissez une description (facultatif).
- Saisissez un ID.
- Sélectionnez une étape de lancement du rôle.
- Cliquez sur Ajouter des autorisations.
- Copiez le texte d'autorisation souhaité à partir des tableaux ci-dessous, puis collez-le dans le champ Filtre. Par exemple,
apigee.environments.create
. - Appuyez sur Entrée ou cliquez sur un élément des résultats.
- Cochez la case correspondant à l'élément que vous venez d'ajouter.
- Cliquez sur Ajouter.
- Une fois que vous avez ajouté toutes les autorisations associées à ce rôle, cliquez sur Créer.
- Pour modifier un rôle personnalisé existant, procédez comme suit :
- Localisez le rôle personnalisé.
- Cliquez sur Plus > Modifier.
- Apportez toutes les modifications nécessaires.
- Cliquez sur Update (Mettre à jour).
Autorisations de gestion Apigee basées sur l'UI
Cette autorisation est requise pour tous les utilisateurs qui géreront une organisation via l'interface utilisateur Apigee dans Cloud Console. Incluez-la dans des rôles personnalisés qui impliquent une gestion via cette interface.
Rôle | Type de compte | Usage |
---|---|---|
apigee.projectorganizations.get |
Payant et d'évaluation |
|
Autorisations de provisionnement
Ces autorisations sont nécessaires pour commencer à provisionner Apigee :
Rôle | Type de compte | Usage |
---|---|---|
apigee.entitlements.get apigee.environments.create apigee.environments.get apigee.environments.list apigee.envgroups.create apigee.envgroups.get apigee.envgroups.list apigee.envgroups.update apigee.envgroupattachments.create apigee.envgroupattachments.list apigee.instances.create apigee.instances.get apigee.instances.list apigee.instanceattachments.create apigee.instanceattachments.get apigee.instanceattachments.list apigee.operations.get apigee.operations.list apigee.organizations.create apigee.organizations.get apigee.organizations.update apigee.projectorganizations.get apigee.projects.update apigee.setupcontexts.get apigee.setupcontexts.update
|
Payant et d'évaluation |
|
Autorisations d'activation de l'API
Ces autorisations sont requises pour activer les API Google Cloud :
Rôle | Type de compte | Usage |
---|---|---|
serviceusage.services.get serviceusage.services.enable |
Payant et d'évaluation | Activer des API Google Cloud |
Autorisations de création d'organisation (organisation payante)
Ces autorisations sont nécessaires pour créer une organisation Apigee pour les comptes payants (abonnement ou paiement à l'usage) :
Autorisations | Type de compte | Usage |
---|---|---|
compute.regions.list |
Payant uniquement | Sélectionner un emplacement d'hébergement de données analytiques |
cloudkms.cryptoKeys.list cloudkms.locations.list cloudkms.keyRings.list
|
Payant uniquement | Sélectionner une clé de chiffrement de base de données d'exécution |
cloudkms.cryptoKeys.create cloudkms.keyRings.create |
Payant uniquement | Créer une clé de chiffrement de base de données d'exécution |
cloudkms.cryptoKeys.getIamPolicy cloudkms.cryptoKeys.setIamPolicy |
Payant uniquement | Accorder au compte de service Apigee l'autorisation d'utiliser une clé de chiffrement |
Autorisations de création d'organisation (organisation d'évaluation)
Cette autorisation est requise pour sélectionner des régions d'hébergement de données analytiques et d'exécution pour une organisation d'évaluation :
Autorisations | Type de compte | Usage |
---|---|---|
compute.regions.list |
Organisations d'évaluation uniquement | Sélectionner des régions d'hébergement de données analytiques et d'exécution |
Autorisations de mise en réseau de services
Ces autorisations sont nécessaires dans les étapes de configuration de la mise en réseau de services. Si vous utilisez un réseau VPC partagé, consultez la section Autorisations de mise en réseau de services avec un VPC partagé.
Autorisations | Type de compte | Usage |
---|---|---|
compute.globalAddresses.createInternal compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.networks.get
compute.networks.list
compute.networks.use
compute.projects.get
servicenetworking.operations.get
servicenetworking.services.addPeering
servicenetworking.services.get
|
Payant et d'évaluation | Ces autorisations sont nécessaires pour effectuer les tâches de l'étape de configuration de la mise en réseau de services. |
Autorisations de mise en réseau de services avec un VPC partagé
Si vous utilisez une mise en réseau de cloud privé virtuel (VPC) partagé, un utilisateur disposant de droits d'administrateur dans le projet VPC partagé doit appairer le projet VPC partagé à Apigee, comme décrit dans la page Utiliser des réseaux VPC partagés. L'appairage doit être terminé pour que l'administrateur Apigee puisse effectuer les étapes de mise en réseau du service. Consultez également la section Administrateurs et IAM.
Lorsque le VPC partagé est correctement configuré, l'administrateur Apigee a besoin de ces autorisations pour effectuer les étapes de configuration de la mise en réseau de services :
Autorisations | Type de compte | Usage |
---|---|---|
compute.projects.get
|
Payant et d'évaluation | L'administrateur Apigee doit disposer de cette autorisation dans le projet où Apigee est installé. Cette autorisation permet à l'administrateur d'afficher l'ID du projet hôte de VPC partagé. |
Rôle d'utilisateur de réseau de Compute ( compute.networkUser ) |
Payant et d'évaluation | L'administrateur Apigee doit disposer de ce rôle dans le projet hôte de VPC partagé. Ce rôle permet à l'administrateur d'afficher et de sélectionner le réseau VPC partagé dans l'interface utilisateur de gestion des comptes Apigee. |
Autorisations concernant les instances d'exécution
Ces autorisations sont nécessaires pour créer une instance d'exécution (comptes d'abonnement et de paiement à l'usage uniquement) :
Autorisations | Type de compte | Usage |
---|---|---|
compute.regions.list |
Payant uniquement | Sélectionner un emplacement d'hébergement d'exécution |
cloudkms.cryptoKeys.list cloudkms.locations.list cloudkms.keyRings.list
|
Payant uniquement | Sélectionner une clé de chiffrement de disque d'exécution |
cloudkms.cryptoKeys.create cloudkms.keyRings.create |
Payant uniquement | Créer une clé de chiffrement de disque d'exécution |
cloudkms.cryptoKeys.getIamPolicy cloudkms.cryptoKeys.setIamPolicy |
Payant uniquement | Accorder au compte de service Apigee l'autorisation d'utiliser une clé de chiffrement |
Autorisations de routage des accès
Ces autorisations sont nécessaires pour les étapes de routage des accès :
Autorisations | Type de compte | Usage |
---|---|---|
compute.autoscalers.create compute.backendServices.create compute.backendServices.use compute.disks.create compute.globalAddresses.create compute.globalAddresses.get compute.globalAddresses.list compute.globalAddresses.use compute.globalForwardingRules.create compute.globalOperations.get compute.firewalls.create compute.firewalls.get compute.healthChecks.create compute.healthChecks.useReadOnly compute.images.get compute.images.useReadOnly compute.instances.create compute.instances.setMetadata compute.instanceGroups.use compute.instanceGroupManagers.create compute.instanceGroupManagers.use compute.instanceTemplates.get compute.instanceTemplates.create compute.instanceTemplates.useReadOnly compute.networks.get compute.networks.list compute.networks.updatePolicy compute.networks.use compute.regionOperations.get compute.regionNetworkEndpointGroups.create compute.regionNetworkEndpointGroups.use compute.sslCertificates.create compute.sslCertificates.get compute.subnetworks.get compute.subnetworks.list compute.subnetworks.setPrivateIpGoogleAccess compute.subnetworks.use compute.targetHttpsProxies.create compute.targetHttpsProxies.use compute.urlMaps.create compute.urlMaps.use
|
Payant et d'évaluation | Configurer le routage d'accès de base |
Autorisations de routage des accès avec un VPC partagé
Si vous utilisez un réseau VPC partagé, sachez que vous devez effectuer la configuration et l'appairage du VPC partagé avant de pouvoir effectuer l'étape de routage des accès.
Une fois le VPC partagé configuré correctement, l'administrateur Apigee requiert le rôle compute.networkUser
dans le projet VPC partagé pour effectuer les étapes de routage des accès. Consultez également la section Rôles administratifs requis pour le VPC partagé.