このページの内容は Apigee に適用されます。Apigee ハイブリッドには適用されません。
Apigee Edge のドキュメントを表示する。
このドキュメントでは、Apigee を正常にプロビジョニングするために必要な Google Cloud IAM の権限について説明します。
権限を指定するには、次のロールを使用します。
- 事前定義ロール: プロビジョニング手順を実施するのに十分な権限を提供します。事前定義ロールでは、プロビジョニングを完了するために必要な範囲を超える権限が Apigee 管理者に付与される場合があります。
- カスタムロール: プロビジョニング手順に必要な最小限の権限を付与します。
Google Cloud プロジェクト オーナーのロール
Apigee のプロビジョニングに使用される Google Cloud プロジェクトのオーナーには、Apigee の基本的なプロビジョニング手順をすべて実行するための権限がすでに付与されています。
Apigee プロビジョナーがプロジェクト オーナーでない場合は、このドキュメントを使用して、プロビジョニングの各ステップを実施するために必要な権限を確認します。
共有 Virtual Private Cloud(VPC)ネットワーキングを使用する場合は、共有 VPC プロジェクトで追加の権限が必要です。これらのケースについても、このドキュメントに記載しています。
事前定義ロール
Apigee 管理者にプロビジョニングを完了できる十分な権限を与えるだけの場合は、Apigee 管理者に次の IAM 事前定義ロールを付与します。ただし、事前定義ロールでは、Apigee 管理者にプロビジョニングを完了するのに必要な範囲を超える権限が付与される場合があります。必要最小限の権限を付与するには、カスタムロールと権限をご覧ください。
事前定義ロールの指定方法
ユーザーとロールを追加するには:
Google Cloud コンソールで、プロジェクトの [IAM と管理] > [IAM] に移動します。
- 新しいユーザーを追加するには:
- [アクセス権を付与] をクリックします。
- 新しいプリンシパル名を入力します。
- [ロールを選択] メニューをクリックして、[フィルタ] フィールドにロール名を入力します。たとえば
Apigee Organization Admin
です。結果にリストされているロールをクリックします。 - [保存] をクリックします。
- 既存のユーザーを編集するには:
- [ 編集] をクリックします。
- 既存のロールを変更するには、[ロール] メニューをクリックし、別のロールを選択します。
- 別のロールを追加する場合は、[別のロールを追加] をクリックします。
- [ロールを選択] メニューをクリックして、[フィルタ] フィールドにロール名を入力します。たとえば
Apigee Organization Admin
です。結果にリストされているロールをクリックします。 - [保存] をクリックします。
ロール | 必要とするステップ | アカウントの種類 | 目的 |
---|---|---|---|
Apigee 組織管理者apigee.admin |
|
有料組織と評価組織 | すべての Apigee リソース機能に対する完全アクセス権を付与する。 |
Service Usage 管理者serviceusage.serviceUsageAdmin |
|
有料組織と評価組織 | サービス状態の有効化、無効化、検査。オペレーションの検査。コンシューマー プロジェクト用の割り当てと課金の利用。 |
Cloud KMS 管理者cloudkms.admin |
|
有料組織のみ | Cloud KMS 鍵とキーリングを作成する。 |
Compute ネットワーク管理者compute.networkAdmin |
|
有料組織と評価組織 | コンピューティング リージョンの一覧表示、サービス ネットワーキングの設定、外部 HTTPS ロードバランサの作成を行う。 |
カスタムロールと権限
必要最小限の権限を付与するには、IAM カスタムロールを作成し、以降のセクションに示す権限を割り当てます。
カスタムロールの指定方法
カスタムロールを追加するには:
Google Cloud コンソールで、プロジェクトの [IAM と管理] > [ロール] に移動します。
- 新しいロールを追加するには:
- [ロールの作成] をクリックします。
- 新しいタイトルを入力します。
- 説明を入力します(省略可)。
- ID を入力します。
- ロールのリリース段階を選択します。
- [権限を追加] をクリックします。
- 次の表から目的の権限テキストをコピーし、[フィルタ] フィールドに貼り付けます。たとえば
apigee.environments.create
です。 - Enter キーを押すか、結果でアイテムをクリックします。
- 追加したアイテムのチェックボックスをオンにします。
- [追加] をクリックします。
- このロールのすべての権限を追加したら、[作成] をクリックします。
- 既存のカスタムロールを編集するには:
- カスタムロールを見つけます。
- (その他)アイコン > [編集] をクリックします。
- 必要な変更を行います。
- [更新] をクリックします。
UI ベースで Apigee を管理するための権限
この権限は、Cloud コンソールの Apigee UI で組織を管理するすべてのユーザーに必要です。このインターフェースを使用して管理を行うカスタムロールに、この権限を含めてください。
ロール | アカウントの種類 | 目的 |
---|---|---|
apigee.projectorganizations.get |
有料組織と評価組織 |
|
プロビジョニングのための権限
Apigee のプロビジョニングを開始するには、以下の権限が必要です。
ロール | アカウントの種類 | 目的 |
---|---|---|
apigee.entitlements.get apigee.environments.create apigee.environments.get apigee.environments.list apigee.envgroups.create apigee.envgroups.get apigee.envgroups.list apigee.envgroups.update apigee.envgroupattachments.create apigee.envgroupattachments.list apigee.instances.create apigee.instances.get apigee.instances.list apigee.instanceattachments.create apigee.instanceattachments.get apigee.instanceattachments.list apigee.operations.get apigee.operations.list apigee.organizations.create apigee.organizations.get apigee.organizations.update apigee.projectorganizations.get apigee.projects.update apigee.setupcontexts.get apigee.setupcontexts.update
|
有料組織と評価組織 |
|
API 有効化のための権限
Google Cloud APIs を有効にするには、以下の権限が必要です。
ロール | アカウントの種類 | 目的 |
---|---|---|
serviceusage.services.get serviceusage.services.enable |
有料組織と評価組織 | Google Cloud APIs の有効化 |
組織作成のための権限(有料組織)
有料アカウント(サブスクリプションまたは従量課金制)の Apigee 組織を作成するには、以下の権限が必要です。
権限 | アカウントの種類 | 目的 |
---|---|---|
compute.regions.list |
有料組織のみ | アナリティクス ホスティング ロケーションを選択する |
cloudkms.cryptoKeys.list cloudkms.locations.list cloudkms.keyRings.list
|
有料組織のみ | ランタイム データベースの暗号鍵を選択する |
cloudkms.cryptoKeys.create cloudkms.keyRings.create |
有料組織のみ | ランタイム データベースの暗号鍵を作成する |
cloudkms.cryptoKeys.getIamPolicy cloudkms.cryptoKeys.setIamPolicy |
有料組織のみ | Apigee サービス アカウントに暗号鍵を使用するための権限を付与する |
組織作成のための権限(評価組織)
この権限は、評価組織のアナリティクスとランタイムのホスティング リージョンを選択するために必要です。
権限 | アカウントの種類 | 目的 |
---|---|---|
compute.regions.list |
評価組織のみ | アナリティクスとランタイムのホスティング リージョンを選択する |
サービス ネットワーキングの権限
これらの権限は、サービス ネットワーキングの構成手順で必要です。共有 VPC ネットワーキングを使用している場合は、共有 VPC を使用したサービス ネットワーキングの権限をご覧ください。
権限 | アカウントの種類 | 目的 |
---|---|---|
compute.globalAddresses.createInternal compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.networks.get
compute.networks.list
compute.networks.use
compute.projects.get
servicenetworking.operations.get
servicenetworking.services.addPeering
servicenetworking.services.get
|
有料組織と評価組織 | これらの権限は、サービス ネットワーキング構成手順のタスクを実行するために必要です。 |
共有 VPC を使用したサービス ネットワーキングの権限
共有 Virtual Private Cloud(VPC)ネットワーキングを使用している場合、共有 VPC プロジェクトで管理者権限を持つユーザーは、共有 VPC プロジェクトと Apigee をピアリングする必要があります。詳細については、共有 VPC ネットワークの使用をご覧ください。Apigee 管理者がサービス ネットワーキングの手順を完了するには、ピアリングを完了しておく必要があります。管理者と IAM もご覧ください。
共有 VPC が正しく設定されている場合、Apigee 管理者がサービス ネットワーキングの構成手順を完了するには、以下の権限が必要です。
権限 | アカウントの種類 | 目的 |
---|---|---|
compute.projects.get
|
有料組織と評価組織 | Apigee 管理者は、Apigee がインストールされているプロジェクトでこの権限を持っている必要があります。 この権限により、管理者は共有 VPC ホスト プロジェクト ID を確認できます。 |
Compute ネットワーク ユーザーのロール ( compute.networkUser ) |
有料組織と評価組織 | Apigee 管理者には、共有 VPC ホスト プロジェクト内でこのロールが付与されている必要があります。このロールにより、管理者は Apigee プロビジョニング UI で共有 VPC ネットワークを表示および選択できます。 |
ランタイム インスタンスの権限
以下の権限は、ランタイム インスタンスを作成するために必要です(サブスクリプション アカウントと従量課金制アカウントのみ)。
権限 | アカウントの種類 | 目的 |
---|---|---|
compute.regions.list |
有料組織のみ | ランタイム ホスティング ロケーションを選択する |
cloudkms.cryptoKeys.list cloudkms.locations.list cloudkms.keyRings.list
|
有料組織のみ | ランタイム ディスク暗号鍵を選択する |
cloudkms.cryptoKeys.create cloudkms.keyRings.create |
有料組織のみ | ランタイム ディスク暗号鍵を作成する |
cloudkms.cryptoKeys.getIamPolicy cloudkms.cryptoKeys.setIamPolicy |
有料組織のみ | Apigee サービス アカウントに暗号鍵を使用するための権限を付与する |
アクセス ルーティングの権限
アクセス ルーティングの手順には、以下の権限が必要です。
権限 | アカウントの種類 | 目的 |
---|---|---|
compute.autoscalers.create compute.backendServices.create compute.backendServices.use compute.disks.create compute.globalAddresses.create compute.globalAddresses.get compute.globalAddresses.list compute.globalAddresses.use compute.globalForwardingRules.create compute.globalOperations.get compute.firewalls.create compute.firewalls.get compute.healthChecks.create compute.healthChecks.useReadOnly compute.images.get compute.images.useReadOnly compute.instances.create compute.instances.setMetadata compute.instanceGroups.use compute.instanceGroupManagers.create compute.instanceGroupManagers.use compute.instanceTemplates.get compute.instanceTemplates.create compute.instanceTemplates.useReadOnly compute.networks.get compute.networks.list compute.networks.updatePolicy compute.networks.use compute.regionOperations.get compute.regionNetworkEndpointGroups.create compute.regionNetworkEndpointGroups.use compute.sslCertificates.create compute.sslCertificates.get compute.subnetworks.get compute.subnetworks.list compute.subnetworks.setPrivateIpGoogleAccess compute.subnetworks.use compute.targetHttpsProxies.create compute.targetHttpsProxies.use compute.urlMaps.create compute.urlMaps.use
|
有料組織と評価組織 | 基本アクセス ルーティングを構成する |
共有 VPC を使用したアクセス ルーティングの権限
共有 Virtual Private Cloud(VPC)ネットワーキングを使用している場合は、アクセス ルーティングの手順を行う前に、共有 VPC の構成とピアリングを完了しておく必要があります。
共有 VPC の設定が完了したら、Apigee 管理者には、アクセス ルーティングの手順を完了するために共有 VPC プロジェクトでの compute.networkUser
ロールが必要です。共有 VPC に必要な管理者のロールもご覧ください。