Sobre as permissões de provisionamento da Apigee

Esta página se aplica à Apigee, mas não à Apigee híbrida.

Confira a documentação da Apigee Edge.

Neste documento, descrevemos as permissões do Google Cloud IAM necessárias para provisionar a Apigee com sucesso.

É possível especificar permissões usando o seguinte:

  • Papéis predefinidos: conceda permissão suficiente para que as etapas de provisionamento sejam realizadas. Os papéis predefinidos podem conceder ao administrador da Apigee mais permissões do que o necessário para concluir o provisionamento.
  • Papéis personalizados: conceda o privilégio mínimo necessário para executar as etapas de provisionamento.

Papel de Proprietário do projeto do Google Cloud

O proprietário do projeto do Google Cloud usado para o provisionamento da Apigee tem permissão para executar todas as etapas básicas de provisionamento da Apigee.

Se o provisionador da Apigee não for o proprietário do projeto, use este documento para determinar as permissões necessárias para executar cada uma das etapas aplicáveis.

Se você usar a rede de nuvem privada virtual (VPC) compartilhada, outras permissões no projeto de VPC compartilhada vão ser necessárias, e esses casos também vão ser anotados neste documento.

Papéis predefinidos

Se você só quiser garantir que o administrador da Apigee tenha permissão suficiente para concluir o provisionamento, conceda a ele os seguintes papéis predefinidos. No entanto, papéis predefinidos podem dar ao administrador da Apigee mais permissões do que o necessário para concluir o provisionamento. Consulte Permissões e papéis personalizados para fornecer os privilégios mínimos necessários.

Como especificar um papel predefinido

Para adicionar usuários e papéis:

  1. No console do Google Cloud, acesse IAM e administrador > IAM para seu projeto.

    Acessar a página do IAM/Iam

  2. Para adicionar um novo usuário, faça o seguinte:
    1. Clique em Conceder acesso.
    2. Digite um novo nome para o Principal.
    3. Clique no menu Selecionar um papel e digite o nome do papel no campo Filtro. Por exemplo, Apigee Organization Admin. Clique no papel listado nos resultados.
    4. Clique em Save.
  3. Para editar um usuário atual, faça o seguinte:
    1. Clique em Editar.
    2. Para alterar um papel atual, clique no menu Papel e selecione um papel diferente.
    3. Para adicionar outro papel, clique em Adicionar outro papel.
    4. Clique no menu Selecionar um papel e digite o nome do papel no campo Filtro. Por exemplo, Apigee Organization Admin. Clique no papel listado nos resultados.
    5. Clique em Save.
Papel Obrigatório para etapas Tipo de conta Finalidade
Administrador da organização da Apigee
apigee.admin
  • Iniciar o provisionamento da Apigee
  • Criar uma organização
  • Criar um ambiente
  • Criar uma instância da Apigee
 Pago e aval. Concede acesso total a todas as funcionalidades de recursos da Apigee.
Administrador do Service Usage
serviceusage.serviceUsageAdmin
  • Ativar APIs
 Pago e aval. Pode ativar, desativar e inspecionar estados de serviço, inspecionar operações, consumir cota e gerar faturamento para o projeto de um consumidor.
Administrador do Cloud KMS
cloudkms.admin
  • Criar uma organização
  • Configurar uma instância de ambiente de execução
 Somente pago Como criar chaves e keyrings do Cloud KMS.
Administrador de rede do Compute
compute.networkAdmin
  • Criar uma organização
  • Configurar uma instância de ambiente de execução
  • Configurar a rede de serviços
  • Configurar o roteamento de acesso (para criar o balanceador de carga HTTPS externo)
 Pago e aval. Como listar regiões do Compute, configurar a rede de serviços e criar o balanceador de carga HTTPS externo.

Permissões e papéis personalizados

Para fornecer privilégios mínimos necessários, crie um papel personalizado do IAM e atribua permissões nas seções a seguir.

Como especificar um papel personalizado

Para adicionar um papel personalizado:

  1. No console do Google Cloud, acesse IAM e administrador > Papéis para o projeto.

    Acessar a página "IAM e administrador/Papéis"

  2. Para adicionar uma nova função, faça o seguinte:
    1. Clique em Criar papel.
    2. Digite um novo Título.
    3. Digite uma Descrição (opcional).
    4. Digite um ID.
    5. Selecione uma Etapa da criação do papel.
    6. Clique em Adicionar permissões.
    7. Copie o texto de permissão desejado das tabelas abaixo e cole ele no campo Filtro. Exemplo, apigee.environments.create.
    8. Pressione Enter ou clique em um item nos resultados.
    9. Marque a caixa de seleção do item recém-adicionado.
    10. Clique em Add (Adicionar).
    11. Depois de adicionar todas as permissões para esse papel, clique em Criar.
  3. Para editar um papel personalizado atual, faça o seguinte:
    1. Localize o papel personalizado.
    2. Clique em Mais > Editar.
    3. Faça as mudanças desejadas.
    4. Clique em Atualizar.

Permissões de gerenciamento da Apigee com base na interface

Essa permissão é necessária para todos os usuários que farão o gerenciamento de uma organização por meio da interface da Apigee no console do Cloud. Inclua a permissão em papéis personalizados que envolvam o gerenciamento por essa interface.

Papel Tipo de conta Objetivo
apigee.projectorganizations.get
 Pago e aval.

Permissões de provisionamento

Essas permissões são necessárias para começar a provisionar a Apigee:

Papel Tipo de conta Objetivo
apigee.entitlements.get
apigee.environments.create
apigee.environments.get
apigee.environments.list
apigee.envgroups.create
apigee.envgroups.get
apigee.envgroups.list
apigee.envgroups.update
apigee.envgroupattachments.create
apigee.envgroupattachments.list
apigee.instances.create
apigee.instances.get
apigee.instances.list
apigee.instanceattachments.create
apigee.instanceattachments.get
apigee.instanceattachments.list
apigee.operations.get
apigee.operations.list
apigee.organizations.create
apigee.organizations.get
apigee.organizations.update
apigee.projectorganizations.get
apigee.projects.update
apigee.setupcontexts.get
apigee.setupcontexts.update 		Pago e aval.
  • Iniciar o provisionamento da Apigee
  • Criar uma organização
  • Criar um ambiente
  • Criar uma instância da Apigee

Permissões de ativação da API

Estas permissões são necessárias para ativar as APIs do Google Cloud:

Papel Tipo de conta Objetivo
serviceusage.services.get
serviceusage.services.enable		 Pago e aval. Como ativar as APIs do Google Cloud

Permissões de criação de organização (organizações pagas)

Estas permissões são necessárias para criar uma organização da Apigee para contas para pagamentos (assinatura ou pagamento por utilização):

Permissões Tipo de conta Objetivo
compute.regions.list Somente pago Como selecionar um local de hospedagem de análise
cloudkms.cryptoKeys.list
cloudkms.locations.list
cloudkms.keyRings.list 		Somente pago Como selecionar uma chave de criptografia do banco de dados do ambiente de execução
cloudkms.cryptoKeys.create
cloudkms.keyRings.create		 Somente pago Como criar uma chave de criptografia do banco de dados do ambiente de execução
cloudkms.cryptoKeys.getIamPolicy
cloudkms.cryptoKeys.setIamPolicy		 Somente pago Como conceder permissão à conta de serviço da Apigee para usar uma chave de criptografia

Permissões de criação da organização (organização de avaliação)

Essa permissão é necessária para selecionar as regiões de hospedagem de análise e ambiente de execução de uma organização de avaliação:

Permissões Tipo de conta Objetivo
compute.regions.list Somente organizações de avaliação Como selecionar regiões de hospedagem de análise e ambiente de execução

Permissões de rede de serviços

Essas permissões são necessárias nas etapas de configuração da rede de serviços. Se você estiver usando uma rede VPC compartilhada, consulte Permissões de rede de serviços com VPC compartilhada.

Permissões Tipo de conta Objetivo
compute.globalAddresses.createInternal
compute.globalAddresses.get
 compute.globalAddresses.list
 compute.globalAddresses.use
 compute.networks.get
 compute.networks.list
 compute.networks.use
 compute.projects.get
 servicenetworking.operations.get
 servicenetworking.services.addPeering
 servicenetworking.services.get 		Pago e aval.

Essas permissões são necessárias para executar as tarefas na etapa de configuração da rede de serviços.

Permissões de rede de serviços com VPC compartilhada

Se você estiver usando a rede de nuvem privada virtual (VPC) compartilhada, um usuário com privilégios de administrador no projeto de VPC compartilhada precisa fazer peering do projeto da VPC compartilhada com a Apigee, conforme descrito em Como usar redes VPC compartilhadas. O peering precisa ser concluído antes que o administrador da Apigee possa concluir as etapas de rede do serviço. Consulte também Administradores e IAM.

Quando a VPC compartilhada é configurada corretamente, o administrador da Apigee precisa destas permissões para concluir as etapas de configuração da rede de serviços:

Permissões Tipo de conta Objetivo
compute.projects.get Pago e aval.

O administrador da Apigee precisa ter essa permissão no projeto em que a Apigee está instalada. Essa permissão possibilita que o administrador veja o ID do projeto host da VPC compartilhada.

Papel do usuário de rede do Compute
(compute.networkUser)		 Pago e aval. O administrador da Apigee precisa receber esse papel no projeto host da VPC compartilhada. Esse papel permite que o administrador visualize e selecione a rede VPC compartilhada na IU de provisionamento da Apigee.

Permissões da instância de ambiente de execução

Essas permissões são necessárias para criar uma instância de ambiente de execução (somente contas de assinatura e de pagamento por uso):

Permissões Tipo de conta Objetivo
compute.regions.list Somente pago Como selecionar um local de hospedagem do ambiente de execução
cloudkms.cryptoKeys.list
cloudkms.locations.list
cloudkms.keyRings.list 		Somente pago Como selecionar uma chave de criptografia de disco do ambiente de execução
cloudkms.cryptoKeys.create
cloudkms.keyRings.create		 Somente pago Como criar uma chave de criptografia de disco do ambiente de execução
cloudkms.cryptoKeys.getIamPolicy
cloudkms.cryptoKeys.setIamPolicy		 Somente pago Como conceder permissão à conta de serviço da Apigee para usar uma chave de criptografia

Permissões de roteamento de acesso

Essas permissões são necessárias para as etapas de roteamento de acesso:

Permissões Tipo de conta Objetivo
compute.autoscalers.create
compute.backendServices.create
compute.backendServices.use
compute.disks.create
compute.globalAddresses.create
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.globalForwardingRules.create
compute.globalOperations.get
compute.firewalls.create
compute.firewalls.get
compute.healthChecks.create
compute.healthChecks.useReadOnly
compute.images.get
compute.images.useReadOnly
compute.instances.create
compute.instances.setMetadata
compute.instanceGroups.use
compute.instanceGroupManagers.create
compute.instanceGroupManagers.use
compute.instanceTemplates.get
compute.instanceTemplates.create
compute.instanceTemplates.useReadOnly
compute.networks.get
compute.networks.list
compute.networks.updatePolicy
compute.networks.use
compute.regionOperations.get
compute.regionNetworkEndpointGroups.create
compute.regionNetworkEndpointGroups.use
compute.sslCertificates.create
compute.sslCertificates.get
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.setPrivateIpGoogleAccess
compute.subnetworks.use
compute.targetHttpsProxies.create
compute.targetHttpsProxies.use
compute.urlMaps.create
compute.urlMaps.use 		Pago e aval.

Como configurar o roteamento de acesso básico

Acessar permissões de roteamento com a VPC compartilhada

Se você estiver usando a rede de nuvem privada virtual (VPC) compartilhada, lembre-se de que a configuração da VPC compartilhada e o peering precisam ser concluídos antes de realizar a etapa de roteamento de acesso.

Depois que a VPC compartilhada é configurada corretamente, o administrador da Apigee precisa do compute.networkUser papel no projeto de VPC compartilhada para concluir as etapas de roteamento de acesso. Consulte também Papéis administrativos necessários para VPC compartilhada.