Esta página se aplica à Apigee, mas não à Apigee híbrida.
Confira a documentação da Apigee Edge.
Neste documento, descrevemos as permissões do Google Cloud IAM necessárias para provisionar a Apigee com sucesso.
É possível especificar permissões usando o seguinte:
- Papéis predefinidos: conceda permissão suficiente para que as etapas de provisionamento sejam realizadas. Os papéis predefinidos podem conceder ao administrador da Apigee mais permissões do que o necessário para concluir o provisionamento.
- Papéis personalizados: conceda o privilégio mínimo necessário para executar as etapas de provisionamento.
Papel de Proprietário do projeto do Google Cloud
O proprietário do projeto do Google Cloud usado para o provisionamento da Apigee tem permissão para executar todas as etapas básicas de provisionamento da Apigee.
Se o provisionador da Apigee não for o proprietário do projeto, use este documento para determinar as permissões necessárias para executar cada uma das etapas aplicáveis.
Se você usar a rede de nuvem privada virtual (VPC) compartilhada, outras permissões no projeto de VPC compartilhada vão ser necessárias, e esses casos também vão ser anotados neste documento.
Papéis predefinidos
Se você só quiser garantir que o administrador da Apigee tenha permissão suficiente para concluir o provisionamento, conceda a ele os seguintes papéis predefinidos. No entanto, papéis predefinidos podem dar ao administrador da Apigee mais permissões do que o necessário para concluir o provisionamento. Consulte Permissões e papéis personalizados para fornecer os privilégios mínimos necessários.
Como especificar um papel predefinido
Para adicionar usuários e papéis:
No console do Google Cloud, acesse IAM e administrador > IAM para seu projeto.
- Para adicionar um novo usuário, faça o seguinte:
- Clique em Conceder acesso.
- Digite um novo nome para o Principal.
- Clique no menu Selecionar um papel e digite o nome
do papel no campo Filtro. Por exemplo,
Apigee Organization Admin
. Clique no papel listado nos resultados. - Clique em Save.
- Para editar um usuário atual, faça o seguinte:
- Clique em Editar.
- Para alterar um papel atual, clique no menu Papel e selecione um papel diferente.
- Para adicionar outro papel, clique em Adicionar outro papel.
- Clique no menu Selecionar um papel e digite o nome
do papel no campo Filtro. Por exemplo,
Apigee Organization Admin
. Clique no papel listado nos resultados. - Clique em Save.
Papel | Obrigatório para etapas | Tipo de conta | Motivo |
---|---|---|---|
Administrador da organização da Apigeeapigee.admin |
|
Pago e aval. | Concede acesso total a todas as funcionalidades de recursos da Apigee. |
Administrador do Service Usageserviceusage.serviceUsageAdmin |
|
Pago e aval. | Pode ativar, desativar e inspecionar estados de serviço, inspecionar operações, consumir cota e gerar faturamento para o projeto de um consumidor. |
Administrador do Cloud KMScloudkms.admin |
|
Somente pago | Como criar chaves e keyrings do Cloud KMS. |
Administrador de rede do Computecompute.networkAdmin |
|
Pago e aval. | Como listar regiões do Compute, configurar a rede de serviços e criar o balanceador de carga HTTPS externo. |
Permissões e papéis personalizados
Para fornecer privilégios mínimos necessários, crie um papel personalizado do IAM e atribua permissões nas seções a seguir.
Como especificar um papel personalizado
Para adicionar um papel personalizado:
No console do Google Cloud, acesse IAM e administrador > Papéis para o projeto.
- Para adicionar uma nova função, faça o seguinte:
- Clique em Criar papel.
- Digite um novo Título.
- Digite uma Descrição (opcional).
- Digite um ID.
- Selecione uma Etapa da criação do papel.
- Clique em Adicionar permissões.
- Copie o texto de permissão desejado das tabelas abaixo e
cole ele no campo Filtro. Exemplo,
apigee.environments.create
. - Pressione Enter ou clique em um item nos resultados.
- Marque a caixa de seleção do item recém-adicionado.
- Clique em Add (Adicionar).
- Depois de adicionar todas as permissões para esse papel, clique em Criar.
- Para editar um papel personalizado atual, faça o seguinte:
- Localize o papel personalizado.
- Clique em Mais > Editar.
- Faça as mudanças desejadas.
- Clique em Atualizar.
Permissões de gerenciamento da Apigee com base na interface
Essa permissão é necessária para todos os usuários que farão o gerenciamento de uma organização por meio da interface da Apigee no console do Cloud. Inclua a permissão em papéis personalizados que envolvam o gerenciamento por essa interface.
Papel | Tipo de conta | Objetivo |
---|---|---|
apigee.projectorganizations.get |
Pago e aval. |
|
Permissões de provisionamento
Essas permissões são necessárias para começar a provisionar a Apigee:
Papel | Tipo de conta | Objetivo |
---|---|---|
apigee.entitlements.get apigee.environments.create apigee.environments.get apigee.environments.list apigee.envgroups.create apigee.envgroups.get apigee.envgroups.list apigee.envgroups.update apigee.envgroupattachments.create apigee.envgroupattachments.list apigee.instances.create apigee.instances.get apigee.instances.list apigee.instanceattachments.create apigee.instanceattachments.get apigee.instanceattachments.list apigee.operations.get apigee.operations.list apigee.organizations.create apigee.organizations.get apigee.organizations.update apigee.projectorganizations.get apigee.projects.update apigee.setupcontexts.get apigee.setupcontexts.update
|
Pago e aval. |
|
Permissões de ativação da API
Estas permissões são necessárias para ativar as APIs do Google Cloud:
Papel | Tipo de conta | Objetivo |
---|---|---|
serviceusage.services.get serviceusage.services.enable |
Pago e aval. | Como ativar as APIs do Google Cloud |
Permissões de criação de organização (organizações pagas)
Estas permissões são necessárias para criar uma organização da Apigee para contas para pagamentos (assinatura ou pagamento por utilização):
Permissões | Tipo de conta | Objetivo |
---|---|---|
compute.regions.list |
Somente pago | Como selecionar um local de hospedagem de análise |
cloudkms.cryptoKeys.list cloudkms.locations.list cloudkms.keyRings.list
|
Somente pago | Como selecionar uma chave de criptografia do banco de dados do ambiente de execução |
cloudkms.cryptoKeys.create cloudkms.keyRings.create |
Somente pago | Como criar uma chave de criptografia do banco de dados do ambiente de execução |
cloudkms.cryptoKeys.getIamPolicy cloudkms.cryptoKeys.setIamPolicy |
Somente pago | Como conceder permissão à conta de serviço da Apigee para usar uma chave de criptografia |
Permissões de criação da organização (organização de avaliação)
Essa permissão é necessária para selecionar as regiões de hospedagem de análise e ambiente de execução de uma organização de avaliação:
Permissões | Tipo de conta | Objetivo |
---|---|---|
compute.regions.list |
Somente organizações de avaliação | Como selecionar regiões de hospedagem de análise e ambiente de execução |
Permissões de rede de serviços
Essas permissões são necessárias nas etapas de configuração da rede de serviços. Se você estiver usando uma rede VPC compartilhada, consulte Permissões de rede de serviços com VPC compartilhada.
Permissões | Tipo de conta | Objetivo |
---|---|---|
compute.globalAddresses.createInternal compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.networks.get
compute.networks.list
compute.networks.use
compute.projects.get
servicenetworking.operations.get
servicenetworking.services.addPeering
servicenetworking.services.get
|
Pago e aval. | Essas permissões são necessárias para executar as tarefas na etapa de configuração da rede de serviços. |
Permissões de rede de serviços com VPC compartilhada
Se você estiver usando a rede de nuvem privada virtual (VPC) compartilhada, um usuário com privilégios de administrador no projeto de VPC compartilhada precisa fazer peering do projeto da VPC compartilhada com a Apigee, conforme descrito em Como usar redes VPC compartilhadas. O peering precisa ser concluído antes que o administrador da Apigee possa concluir as etapas de rede do serviço. Consulte também Administradores e IAM.
Quando a VPC compartilhada é configurada corretamente, o administrador da Apigee precisa destas permissões para concluir as etapas de configuração da rede de serviços:
Permissões | Tipo de conta | Objetivo |
---|---|---|
compute.projects.get
|
Pago e aval. | O administrador da Apigee precisa ter essa permissão no projeto em que a Apigee está instalada. Essa permissão possibilita que o administrador veja o ID do projeto host da VPC compartilhada. |
Papel do usuário de rede do Compute ( compute.networkUser ) |
Pago e aval. | O administrador da Apigee precisa receber esse papel no projeto host da VPC compartilhada. Esse papel permite que o administrador visualize e selecione a rede VPC compartilhada na IU de provisionamento da Apigee. |
Permissões da instância de ambiente de execução
Essas permissões são necessárias para criar uma instância de ambiente de execução (somente contas de assinatura e de pagamento por uso):
Permissões | Tipo de conta | Objetivo |
---|---|---|
compute.regions.list |
Somente pago | Como selecionar um local de hospedagem do ambiente de execução |
cloudkms.cryptoKeys.list cloudkms.locations.list cloudkms.keyRings.list
|
Somente pago | Como selecionar uma chave de criptografia de disco do ambiente de execução |
cloudkms.cryptoKeys.create cloudkms.keyRings.create |
Somente pago | Como criar uma chave de criptografia de disco do ambiente de execução |
cloudkms.cryptoKeys.getIamPolicy cloudkms.cryptoKeys.setIamPolicy |
Somente pago | Como conceder permissão à conta de serviço da Apigee para usar uma chave de criptografia |
Permissões de roteamento de acesso
Essas permissões são necessárias para as etapas de roteamento de acesso:
Permissões | Tipo de conta | Objetivo |
---|---|---|
compute.autoscalers.create compute.backendServices.create compute.backendServices.use compute.disks.create compute.globalAddresses.create compute.globalAddresses.get compute.globalAddresses.list compute.globalAddresses.use compute.globalForwardingRules.create compute.globalOperations.get compute.firewalls.create compute.firewalls.get compute.healthChecks.create compute.healthChecks.useReadOnly compute.images.get compute.images.useReadOnly compute.instances.create compute.instances.setMetadata compute.instanceGroups.use compute.instanceGroupManagers.create compute.instanceGroupManagers.use compute.instanceTemplates.get compute.instanceTemplates.create compute.instanceTemplates.useReadOnly compute.networks.get compute.networks.list compute.networks.updatePolicy compute.networks.use compute.regionOperations.get compute.regionNetworkEndpointGroups.create compute.regionNetworkEndpointGroups.use compute.sslCertificates.create compute.sslCertificates.get compute.subnetworks.get compute.subnetworks.list compute.subnetworks.setPrivateIpGoogleAccess compute.subnetworks.use compute.targetHttpsProxies.create compute.targetHttpsProxies.use compute.urlMaps.create compute.urlMaps.use
|
Pago e aval. | Como configurar o roteamento de acesso básico |
Acessar permissões de roteamento com a VPC compartilhada
Se você estiver usando a rede de nuvem privada virtual (VPC) compartilhada, lembre-se de que a configuração da VPC compartilhada e o peering precisam ser concluídos antes de realizar a etapa de roteamento de acesso.
Depois que a VPC compartilhada é configurada corretamente, o administrador da Apigee precisa do
compute.networkUser
papel no projeto de VPC compartilhada
para concluir as etapas de roteamento de acesso. Consulte também
Papéis administrativos necessários para VPC compartilhada.