Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni sulle autorizzazioni di provisioning di Apigee

Questa pagina si applica a Apigee, ma non a Apigee ibrido.

Visualizza la documentazione di Apigee Edge.

Questo documento descrive le autorizzazioni IAM di Google Cloud necessarie per eseguire il provisioning di Apigee.

Puoi specificare le autorizzazioni nei seguenti modi:

Ruoli predefiniti: Fornisci autorizzazioni sufficienti per eseguire la procedura di provisioning. I ruoli predefiniti possono concedere all'amministratore Apigee più autorizzazioni di cui hanno bisogno per completare il provisioning.
Ruoli personalizzati: Fornisci il privilegio minimo necessario per eseguire i passaggi di provisioning.

Ruolo di proprietario del progetto Google Cloud

Il proprietario del progetto Google Cloud utilizzato per il provisioning di Apigee dispone già dell'autorizzazione per eseguire tutti i passaggi di base del provisioning di Apigee.

Se il provisioner Apigee non è il proprietario del progetto, utilizza questo documento per determinare le autorizzazioni necessarie per eseguire ogni passaggio del provisioning.

Se utilizzi la rete Virtual Private Cloud (VPC) condivisa, sono necessarie autorizzazioni aggiuntive nel progetto VPC condiviso e queste situazioni sono indicate anche in questo documento.

Ruoli predefiniti

Se vuoi solo assicurarti che l'amministratore di Apigee disponga delle autorizzazioni sufficienti per completare il provisioning, assegnagli i seguenti ruoli IAM predefiniti. Tuttavia, i ruoli predefiniti potrebbero concedere all'amministratore di Apigee più autorizzazioni di quelle necessarie per completare il provisioning. Consulta la sezione Autorizzazioni e ruoli personalizzati per fornire i privilegi strettamente necessari.

Come specificare un ruolo predefinito

Per aggiungere utenti e ruoli:

Nella console Google Cloud, vai a IAM e amministrazione > IAM per il tuo progetto.

Vai alla pagina IAM/Iam
Per aggiungere un nuovo utente:
1. Fai clic su Concedi accesso.
2. Digita un nuovo nome Entità.
3. Fai clic sul menu Seleziona un ruolo e digita il ruolo. nel campo Filtro. Ad esempio, Apigee Organization Admin. Fai clic sul ruolo elencato nei risultati.
4. Fai clic su Salva.
Per modificare un utente esistente:
1. Fai clic su Modifica.
2. Per modificare un ruolo esistente, fai clic sul menu Ruolo e poi seleziona un altro ruolo.
3. Per aggiungere un altro ruolo, fai clic su Aggiungi un altro ruolo.
4. Fai clic sul menu Seleziona un ruolo e digita il ruolo. nel campo Filtro. Ad esempio: Apigee Organization Admin. Fai clic sul ruolo elencato in i risultati.
5. Fai clic su Salva.

Ruolo	Obbligatorio per i passaggi	Tipo di account	Finalità
Amministratore organizzazione Apigee `apigee.admin`	Avvia il provisioning di Apigee Crea un'organizzazione Creazione di un ambiente Crea un'istanza Apigee	A pagamento ed eval	Concede l'accesso completo a tutte le funzionalità delle risorse Apigee.
Service Usage Admin `serviceusage.serviceUsageAdmin`	Abilita API	A pagamento ed eval	Possibilità di abilitare, disabilitare e ispezionare gli stati dei servizi, ispezionare e utilizzare quota e fatturazione per un progetto consumer.
Amministratore Cloud KMS `cloudkms.admin`	Crea un'organizzazione Configurare un'istanza di runtime	Solo a pagamento	Creazione di chiavi e keyring Cloud KMS.
Amministratore rete Compute `compute.networkAdmin`	Crea un'organizzazione Configurare un'istanza di runtime Configurare il networking di servizi Configura il routing dell'accesso (per creare il bilanciatore del carico HTTPS esterno).	A pagamento e valutazione	Elenco delle regioni di computing, configurazione del networking di servizi creando il bilanciatore del carico HTTPS esterno.

Autorizzazioni e ruoli personalizzati

Per fornire i privilegi strettamente necessari, crea un ruolo IAM personalizzato e assegna le autorizzazioni dalle sezioni seguenti.

Come specificare un ruolo personalizzato

Per aggiungere un ruolo personalizzato:

Nella console Google Cloud, vai a IAM e amministrazione > Ruoli per il tuo progetto.

Vai alla sezione IAM & Pagina Amministratore/Ruoli
Per aggiungere un nuovo ruolo:
1. Fai clic su Crea ruolo.
2. Digita un nuovo Titolo.
3. (Facoltativo) Digita una descrizione.
4. Digita un ID.
5. Seleziona una Fase di lancio del ruolo.
6. Fai clic su Aggiungi autorizzazioni.
7. Copia il testo delle autorizzazioni che ti interessa dalle tabelle seguenti e incollalo nel campo Filtro. Ad esempio: apigee.environments.create.
8. Premi Invio o fai clic su un elemento tra i risultati.
9. Seleziona la casella di controllo relativa all'elemento appena aggiunto.
10. Fai clic su Aggiungi.
  Nota: per aggiungere più autorizzazioni alla volta:
  - Seleziona l'operatore OR tra ogni autorizzazione man mano che le aggiungi
  - Cerca una stringa di autorizzazione parziale, ad esempio apigee.environments, seleziona più caselle di controllo, e fai clic su Salva.
11. Dopo aver aggiunto tutte le autorizzazioni per questo ruolo, fai clic su Crea.
Per modificare un ruolo personalizzato esistente:
1. Individua il ruolo personalizzato.
2. Fai clic su Altro > Modifica.
3. Apporta le modifiche che preferisci.
4. Fai clic su Aggiorna.

Autorizzazioni di gestione di Apigee basate sull'interfaccia utente

Questa autorizzazione è obbligatoria per tutti gli utenti che gestiranno un'organizzazione tramite UI di Apigee nella console Cloud. Includono i ruoli personalizzati che prevedono la gestione tramite questa interfaccia.

Ruolo	Tipo di account	Finalità
`apigee.projectorganizations.get`	A pagamento e valutazione	Esegui qualsiasi azione tramite la UI di Apigee nella console Cloud.

Autorizzazioni di provisioning

Queste autorizzazioni sono necessarie per avviare il provisioning Apigee:

Ruolo	Tipo di account	Finalità
`apigee.entitlements.get` `apigee.environments.create` `apigee.environments.get` `apigee.environments.list` `apigee.envgroups.create` `apigee.envgroups.get` `apigee.envgroups.list` `apigee.envgroups.update` `apigee.envgroupattachments.create` `apigee.envgroupattachments.list` `apigee.instances.create` `apigee.instances.get` `apigee.instances.list` `apigee.instanceattachments.create` `apigee.instanceattachments.get` `apigee.instanceattachments.list` `apigee.operations.get` `apigee.operations.list` `apigee.organizations.create` `apigee.organizations.get` `apigee.organizations.update` `apigee.projectorganizations.get` `apigee.projects.update` `apigee.setupcontexts.get` `apigee.setupcontexts.update`	A pagamento e valutazione	Avvia il provisioning di Apigee Crea un'organizzazione Creazione di un ambiente Crea un'istanza Apigee

Autorizzazioni di abilitazione dell'API

Queste autorizzazioni sono necessarie per abilitare le API Google Cloud:

Ruolo	Tipo di account	Finalità
`serviceusage.services.get` `serviceusage.services.enable`	A pagamento ed eval	Attivazione delle API Google Cloud

Autorizzazioni per la creazione di organizzazioni (organizzazione a pagamento)

Queste autorizzazioni sono necessarie per creare un'organizzazione Apigee account a pagamento (abbonamento o pagamento a consumo):

Autorizzazioni	Tipo di account	Finalità
`compute.regions.list`	Solo a pagamento	Selezionare una località di hosting per l'analisi
`cloudkms.cryptoKeys.list` `cloudkms.locations.list` `cloudkms.keyRings.list`	Solo a pagamento	Selezione di una chiave di crittografia del database di runtime
`cloudkms.cryptoKeys.create` `cloudkms.keyRings.create`	Solo a pagamento	Creazione di una chiave di crittografia del database di runtime
`cloudkms.cryptoKeys.getIamPolicy` `cloudkms.cryptoKeys.setIamPolicy`	Solo a pagamento	Concessione all'account di servizio Apigee dell'autorizzazione a utilizzare una chiave di crittografia

Autorizzazioni per la creazione di organizzazioni (organizzazione di valutazione)

Questa autorizzazione è necessaria per selezionare le regioni di hosting di analisi e runtime per un'organizzazione di valutazione:

Autorizzazioni	Tipo di account	Finalità
`compute.regions.list`	Solo organizzazioni di valutazione	Selezione delle regioni di hosting di analisi e runtime

Autorizzazioni di networking di servizi

Queste autorizzazioni sono necessarie nei passaggi di configurazione della rete di servizi. Se utilizzi la rete VPC condivisa, consulta Autorizzazioni di rete di servizio con VPC condiviso.

Autorizzazioni	Tipo di account	Finalità
`compute.globalAddresses.createInternal` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalAddresses.use` `compute.networks.get` `compute.networks.list` `compute.networks.use` `compute.projects.get` `servicenetworking.operations.get` `servicenetworking.services.addPeering` `servicenetworking.services.get`	A pagamento e valutazione	Queste autorizzazioni sono necessarie per eseguire le attività nel passaggio di configurazione della rete del servizio. Nota: se utilizzi la rete Virtual Private Cloud (VPC) condivisa, consulta Autorizzazioni di rete di servizio con VPC condiviso.

Autorizzazioni di rete dei servizi con VPC condiviso

Se utilizzi il networking VPC (Virtual Private Cloud) condiviso, un utente con i privilegi amministrativi nel progetto del VPC condiviso devono essere in peering del VPC condiviso progetto con Apigee, come descritto Utilizzo di reti VPC condivise. Il peering deve essere completato prima che la piattaforma Apigee un amministratore può completare i passaggi del networking di servizi. Consulta anche Amministratori e IAM.

Quando il VPC condiviso è configurato correttamente, l'amministratore Apigee ha bisogno di queste autorizzazioni per completare i passaggi di configurazione della rete di servizi:

Autorizzazioni	Tipo di account	Finalità
`compute.projects.get`	A pagamento e valutazione	L'amministratore di Apigee deve disporre di questa autorizzazione nel progetto in cui è installato Apigee. Questa autorizzazione consente all'amministratore di visualizzare l'ID progetto host della rete VPC condivisa.
Ruolo Utente di rete Compute (`compute.networkUser`)	A pagamento e valutazione	All'amministratore di Apigee deve essere concesso questo ruolo nel progetto host VPC condiviso. Questo ruolo consente all'amministratore di visualizzare e selezionare la rete VPC condivisa nell'interfaccia utente di provisioning di Apigee.

Autorizzazioni delle istanze di runtime

Queste autorizzazioni sono necessarie per creare un'istanza di runtime (solo account in abbonamento e con pagamento a consumo):

Autorizzazioni	Tipo di account	Finalità
`compute.regions.list`	Solo a pagamento	Selezione di una località di hosting del runtime
`cloudkms.cryptoKeys.list` `cloudkms.locations.list` `cloudkms.keyRings.list`	Solo a pagamento	Selezione di una chiave di crittografia del disco di runtime
`cloudkms.cryptoKeys.create` `cloudkms.keyRings.create`	Solo a pagamento	Creazione di una chiave di crittografia disco di runtime
`cloudkms.cryptoKeys.getIamPolicy` `cloudkms.cryptoKeys.setIamPolicy`	Solo a pagamento	Concessione all'account di servizio Apigee dell'autorizzazione a utilizzare una chiave di crittografia

Autorizzazioni di routing dell'accesso

Queste autorizzazioni sono necessarie per i passaggi di routing degli accessi:

Autorizzazioni	Tipo di account	Finalità
`compute.autoscalers.create` `compute.backendServices.create` `compute.backendServices.use` `compute.disks.create` `compute.globalAddresses.create` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalAddresses.use` `compute.globalForwardingRules.create` `compute.globalOperations.get` `compute.firewalls.create` `compute.firewalls.get` `compute.healthChecks.create` `compute.healthChecks.useReadOnly` `compute.images.get` `compute.images.useReadOnly` `compute.instances.create` `compute.instances.setMetadata` `compute.instanceGroups.use` `compute.instanceGroupManagers.create` `compute.instanceGroupManagers.use` `compute.instanceTemplates.get` `compute.instanceTemplates.create` `compute.instanceTemplates.useReadOnly` `compute.networks.get` `compute.networks.list` `compute.networks.updatePolicy` `compute.networks.use` `compute.regionOperations.get` `compute.regionNetworkEndpointGroups.create` `compute.regionNetworkEndpointGroups.use` `compute.sslCertificates.create` `compute.sslCertificates.get` `compute.subnetworks.get` `compute.subnetworks.list` `compute.subnetworks.setPrivateIpGoogleAccess` `compute.subnetworks.use` `compute.targetHttpsProxies.create` `compute.targetHttpsProxies.use` `compute.urlMaps.create` `compute.urlMaps.use`	A pagamento ed eval	Configurazione del routing degli accessi di base Nota: se utilizzi la rete Virtual Private Cloud (VPC) condivisa, consulta Accedere alle autorizzazioni di routing con VPC condiviso.

Autorizzazioni di routing degli accessi con il VPC condiviso

Se utilizzi la rete VPC (Virtual Private Cloud) condivisa, tieni presente che la configurazione e il peering del VPC condiviso devono essere completati prima di poter eseguire il passaggio di routing dell'accesso.

Dopo che il VPC condiviso è stato configurato correttamente, l'amministratore di Apigee richiede Ruolo compute.networkUser nel progetto del VPC condiviso per completare la procedura di routing dell'accesso. Vedi anche Ruoli amministrativi richiesti per il VPC condiviso.