Apigee プロビジョニング権限について

このページの内容は Apigee に適用されます。Apigee ハイブリッドには適用されません。

Apigee Edge のドキュメントを表示する。

このドキュメントでは、Apigee を正常にプロビジョニングするために必要な Google Cloud IAM の権限について説明します。

権限を指定するには、次のロールを使用します。

  • 事前定義ロール: プロビジョニング手順を実施するのに十分な権限を提供します。事前定義ロールでは、プロビジョニングを完了するために必要な範囲を超える権限が Apigee 管理者に付与される場合があります。
  • カスタムロール: プロビジョニング手順に必要な最小限の権限を付与します。

Google Cloud プロジェクト オーナーのロール

Apigee のプロビジョニングに使用される Google Cloud プロジェクトのオーナーには、Apigee の基本的なプロビジョニング手順をすべて実行するための権限がすでに付与されています。

Apigee プロビジョナーがプロジェクト オーナーでない場合は、このドキュメントを使用して、プロビジョニングの各ステップを実施するために必要な権限を確認します。

共有 Virtual Private Cloud(VPC)ネットワーキングを使用する場合は、共有 VPC プロジェクトで追加の権限が必要です。これらのケースについても、このドキュメントに記載しています。

事前定義ロール

Apigee 管理者にプロビジョニングを完了できる十分な権限を与えるだけの場合は、Apigee 管理者に次の IAM 事前定義ロールを付与します。ただし、事前定義ロールでは、Apigee 管理者にプロビジョニングを完了するのに必要な範囲を超える権限が付与される場合があります。必要最小限の権限を付与するには、カスタムロールと権限をご覧ください。

事前定義ロールの指定方法

ユーザーとロールを追加するには:

  1. Google Cloud コンソールで、プロジェクトの [IAM と管理] > [IAM] に移動します。

    [IAM] / [Iam] ページに移動

  2. 新しいユーザーを追加するには:
    1. [アクセス権を付与] をクリックします。
    2. 新しいプリンシパル名を入力します。
    3. [ロールを選択] メニューをクリックして、[フィルタ] フィールドにロール名を入力します。たとえば Apigee Organization Admin です。結果にリストされているロールをクリックします。
    4. [保存] をクリックします。
  3. 既存のユーザーを編集するには:
    1. [ 編集] をクリックします。
    2. 既存のロールを変更するには、[ロール] メニューをクリックし、別のロールを選択します。
    3. 別のロールを追加する場合は、[別のロールを追加] をクリックします。
    4. [ロールを選択] メニューをクリックして、[フィルタ] フィールドにロール名を入力します。たとえば Apigee Organization Admin です。結果にリストされているロールをクリックします。
    5. [保存] をクリックします。
ロール 必要とするステップ アカウントの種類 目的
Apigee 組織管理者
apigee.admin
  • Apigee のプロビジョニングを開始する
  • 組織を作成する
  • 環境を作成する
  • Apigee インスタンスを作成する
有料組織と評価組織 すべての Apigee リソース機能に対する完全アクセス権を付与する。
Service Usage 管理者
serviceusage.serviceUsageAdmin
  • API を有効にする
有料組織と評価組織 サービス状態の有効化、無効化、検査。オペレーションの検査。コンシューマー プロジェクト用の割り当てと課金の利用。
Cloud KMS 管理者
cloudkms.admin
  • 組織を作成する
  • ランタイム インスタンスを構成する
有料組織のみ Cloud KMS 鍵とキーリングを作成する。
Compute ネットワーク管理者
compute.networkAdmin
  • 組織を作成する
  • ランタイム インスタンスを構成する
  • サービス ネットワーキングを構成する
  • アクセス ルーティングを構成する(外部 HTTPS ロードバランサを作成するため)
有料組織と評価組織 コンピューティング リージョンの一覧表示、サービス ネットワーキングの設定、外部 HTTPS ロードバランサの作成を行う。

カスタムロールと権限

必要最小限の権限を付与するには、IAM カスタムロールを作成し、以降のセクションに示す権限を割り当てます。

カスタムロールの指定方法

カスタムロールを追加するには:

  1. Google Cloud コンソールで、プロジェクトの [IAM と管理] > [ロール] に移動します。

    [IAM と管理] / [ロール] ページに移動

  2. 新しいロールを追加するには:
    1. [ロールの作成] をクリックします。
    2. 新しいタイトルを入力します。
    3. 説明を入力します(省略可)。
    4. ID を入力します。
    5. ロールのリリース段階を選択します。
    6. [権限を追加] をクリックします。
    7. 次の表から目的の権限テキストをコピーし、[フィルタ] フィールドに貼り付けます。たとえば apigee.environments.create です。
    8. Enter キーを押すか、結果でアイテムをクリックします。
    9. 追加したアイテムのチェックボックスをオンにします。
    10. [追加] をクリックします。
    11. このロールのすべての権限を追加したら、[作成] をクリックします。
  3. 既存のカスタムロールを編集するには:
    1. カスタムロールを見つけます。
    2. その他)アイコン > [編集] をクリックします。
    3. 必要な変更を行います。
    4. [更新] をクリックします。

UI ベースで Apigee を管理するための権限

この権限は、Cloud コンソールの Apigee UI で組織を管理するすべてのユーザーに必要です。このインターフェースを使用して管理を行うカスタムロールに、この権限を含めてください。

ロール アカウントの種類 目的
apigee.projectorganizations.get
有料組織と評価組織

プロビジョニングのための権限

Apigee のプロビジョニングを開始するには、以下の権限が必要です。

ロール アカウントの種類 目的
apigee.entitlements.get
apigee.environments.create
apigee.environments.get
apigee.environments.list
apigee.envgroups.create
apigee.envgroups.get
apigee.envgroups.list
apigee.envgroups.update
apigee.envgroupattachments.create
apigee.envgroupattachments.list
apigee.instances.create
apigee.instances.get
apigee.instances.list
apigee.instanceattachments.create
apigee.instanceattachments.get
apigee.instanceattachments.list
apigee.operations.get
apigee.operations.list
apigee.organizations.create
apigee.organizations.get
apigee.organizations.update
apigee.projectorganizations.get
apigee.projects.update
apigee.setupcontexts.get
apigee.setupcontexts.update
有料組織と評価組織
  • Apigee のプロビジョニングを開始する
  • 組織を作成する
  • 環境を作成する
  • Apigee インスタンスを作成する

API 有効化のための権限

Google Cloud APIs を有効にするには、以下の権限が必要です。

ロール アカウントの種類 目的
serviceusage.services.get
serviceusage.services.enable
有料組織と評価組織 Google Cloud APIs の有効化

組織作成のための権限(有料組織)

有料アカウント(サブスクリプションまたは従量課金制)の Apigee 組織を作成するには、以下の権限が必要です。

権限 アカウントの種類 目的
compute.regions.list 有料組織のみ アナリティクス ホスティング ロケーションを選択する
cloudkms.cryptoKeys.list
cloudkms.locations.list
cloudkms.keyRings.list
有料組織のみ ランタイム データベースの暗号鍵を選択する
cloudkms.cryptoKeys.create
cloudkms.keyRings.create
有料組織のみ ランタイム データベースの暗号鍵を作成する
cloudkms.cryptoKeys.getIamPolicy
cloudkms.cryptoKeys.setIamPolicy
有料組織のみ Apigee サービス アカウントに暗号鍵を使用するための権限を付与する

組織作成のための権限(評価組織)

この権限は、評価組織のアナリティクスとランタイムのホスティング リージョンを選択するために必要です。

権限 アカウントの種類 目的
compute.regions.list 評価組織のみ アナリティクスとランタイムのホスティング リージョンを選択する

サービス ネットワーキングの権限

これらの権限は、サービス ネットワーキングの構成手順で必要です。共有 VPC ネットワーキングを使用している場合は、共有 VPC を使用したサービス ネットワーキングの権限をご覧ください。

権限 アカウントの種類 目的
compute.globalAddresses.createInternal
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.networks.get
compute.networks.list
compute.networks.use
compute.projects.get
servicenetworking.operations.get
servicenetworking.services.addPeering
servicenetworking.services.get
有料組織と評価組織

これらの権限は、サービス ネットワーキング構成手順のタスクを実行するために必要です。

共有 VPC を使用したサービス ネットワーキングの権限

共有 Virtual Private Cloud(VPC)ネットワーキングを使用している場合、共有 VPC プロジェクトで管理者権限を持つユーザーは、共有 VPC プロジェクトと Apigee をピアリングする必要があります。詳細については、共有 VPC ネットワークの使用をご覧ください。Apigee 管理者がサービス ネットワーキングの手順を完了するには、ピアリングを完了しておく必要があります。管理者と IAM もご覧ください。

共有 VPC が正しく設定されている場合、Apigee 管理者がサービス ネットワーキングの構成手順を完了するには、以下の権限が必要です。

権限 アカウントの種類 目的
compute.projects.get 有料組織と評価組織

Apigee 管理者は、Apigee がインストールされているプロジェクトでこの権限を持っている必要があります。 この権限により、管理者は共有 VPC ホスト プロジェクト ID を確認できます。

Compute ネットワーク ユーザーのロール
compute.networkUser
有料組織と評価組織 Apigee 管理者には、共有 VPC ホスト プロジェクト内でこのロールが付与されている必要があります。このロールにより、管理者は Apigee プロビジョニング UI で共有 VPC ネットワークを表示および選択できます。

ランタイム インスタンスの権限

以下の権限は、ランタイム インスタンスを作成するために必要です(サブスクリプション アカウントと従量課金制アカウントのみ)。

権限 アカウントの種類 目的
compute.regions.list 有料組織のみ ランタイム ホスティング ロケーションを選択する
cloudkms.cryptoKeys.list
cloudkms.locations.list
cloudkms.keyRings.list
有料組織のみ ランタイム ディスク暗号鍵を選択する
cloudkms.cryptoKeys.create
cloudkms.keyRings.create
有料組織のみ ランタイム ディスク暗号鍵を作成する
cloudkms.cryptoKeys.getIamPolicy
cloudkms.cryptoKeys.setIamPolicy
有料組織のみ Apigee サービス アカウントに暗号鍵を使用するための権限を付与する

アクセス ルーティングの権限

アクセス ルーティングの手順には、以下の権限が必要です。

権限 アカウントの種類 目的
compute.autoscalers.create
compute.backendServices.create
compute.backendServices.use
compute.disks.create
compute.globalAddresses.create
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.globalForwardingRules.create
compute.globalOperations.get
compute.firewalls.create
compute.firewalls.get
compute.healthChecks.create
compute.healthChecks.useReadOnly
compute.images.get
compute.images.useReadOnly
compute.instances.create
compute.instances.setMetadata
compute.instanceGroups.use
compute.instanceGroupManagers.create
compute.instanceGroupManagers.use
compute.instanceTemplates.get
compute.instanceTemplates.create
compute.instanceTemplates.useReadOnly
compute.networks.get
compute.networks.list
compute.networks.updatePolicy
compute.networks.use
compute.regionOperations.get
compute.regionNetworkEndpointGroups.create
compute.regionNetworkEndpointGroups.use
compute.sslCertificates.create
compute.sslCertificates.get
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.setPrivateIpGoogleAccess
compute.subnetworks.use
compute.targetHttpsProxies.create
compute.targetHttpsProxies.use
compute.urlMaps.create
compute.urlMaps.use
有料組織と評価組織

基本アクセス ルーティングを構成する

共有 VPC を使用したアクセス ルーティングの権限

共有 Virtual Private Cloud(VPC)ネットワーキングを使用している場合は、アクセス ルーティングの手順を行う前に、共有 VPC の構成とピアリングを完了しておく必要があります。

共有 VPC の設定が完了したら、Apigee 管理者には、アクセス ルーティングの手順を完了するために共有 VPC プロジェクトでの compute.networkUser ロールが必要です。共有 VPC に必要な管理者のロールもご覧ください。