本頁內容適用於 Apigee,但不適用於 Apigee Hybrid。
查看
Apigee Edge 說明文件。
本文說明成功佈建 Apigee 時所需的 Google Cloud IAM 權限。
您可以使用下列項目指定權限:
Google Cloud 專案擁有者角色
用於 Apigee 佈建的 Google Cloud 專案擁有者,已具備執行所有基本 Apigee 佈建步驟的權限。
如果 Apigee 佈建器不是專案擁有者,請參閱本文,瞭解執行各個佈建步驟所需的權限。
如果您使用共用虛擬私有雲 (VPC) 網路,則需要共用 VPC 專案中的額外權限,本文也會說明這些情況。
預先定義的角色
如果您只是想確保 Apigee 管理員有足夠的權限完成佈建,請將下列 IAM 預先定義的角色授予 Apigee 管理員;不過,預先定義的角色可能會授予 Apigee 管理員超出佈建所需的權限。請參閱「 自訂角色和權限」,授予最低必要權限。
如何指定預先定義的角色
如要新增使用者和角色,請按照下列步驟操作:
在 Google Cloud 控制台中,前往專案的「IAM & Admin」(IAM 與管理) >「IAM」。
- 如何新增使用者:
- 按一下「授予存取權」。
- 輸入新的「主體」名稱。
- 按一下「Select a role」(請選擇角色) 選單,然後在「Filter」(篩選器) 欄位中輸入角色名稱。例如:
Apigee Organization Admin。按一下結果中列出的角色。 - 按一下 [儲存]。
- 如要編輯現有使用者:
- 按一下「Edit」(編輯)。
- 如要變更現有角色,請按一下「角色」選單,然後選取其他角色。
- 如要新增其他角色,請按一下「新增其他角色」。
- 按一下「Select a role」(請選擇角色) 選單,然後在「Filter」(篩選器) 欄位中輸入角色名稱。例如:
Apigee Organization Admin。按一下結果中列出的角色。 - 按一下 [儲存]。
| 角色 | 步驟必填 | 帳戶類型 | 目的 |
|---|---|---|---|
Apigee 機構管理員apigee.admin |
|
付費和評估 | 具備所有 Apigee 資源功能的完整存取權。 |
服務使用情形管理員serviceusage.serviceUsageAdmin |
|
付費和評估 | 可啟用、停用及檢查服務狀態、檢查作業,以及消耗消費者專案的配額和帳單。 |
Cloud KMS 管理員cloudkms.admin |
|
僅限付費 | 建立 Cloud KMS 金鑰和金鑰環。 |
運算管理員compute.admin |
|
付費和評估 | 列出 Compute 區域、設定服務網路,以及建立外部 HTTPS 負載平衡器。 |
自訂角色和權限
如要提供最少的必要權限,請建立 IAM 自訂角色,並指派下列各節中的權限。
如何指定自訂角色
如要新增自訂角色:
在 Google Cloud 控制台中,前往專案的「IAM 與管理 > 角色」。
- 如要新增角色,請按照下列步驟操作:
- 按一下「建立角色」。
- 輸入新的標題。
- 輸入說明 (選填)。
- 輸入 ID。
- 選取「角色推出階段」。
- 按一下「Add permissions」。
- 從下表複製所需權限文字,然後貼到「篩選器」欄位。例如:
apigee.environments.create。 - 按下 Enter 鍵,或點選結果中的項目。
- 勾選剛新增項目的核取方塊。
- 按一下「新增」。
- 為這個角色新增所有權限後,按一下「建立」。
- 如要編輯現有的自訂角色:
- 找出自訂角色。
- 依序點按 「更多」>「編輯」。
- 視需要進行變更。
- 按一下「Update」。
以使用者介面為基礎的 Apigee 管理權限
如要透過 Cloud 控制台中的 Apigee 使用者介面管理機構,所有使用者都必須具備這項權限。將其納入透過該介面進行管理的自訂角色。
| 角色 | 帳戶類型 | 目的 |
|---|---|---|
apigee.projectorganizations.get |
付費和評估 |
|
佈建權限
您必須具備這些權限,才能開始佈建 Apigee:
| 角色 | 帳戶類型 | 目的 |
|---|---|---|
apigee.entitlements.getapigee.environments.createapigee.environments.getapigee.environments.listapigee.envgroups.createapigee.envgroups.getapigee.envgroups.listapigee.envgroups.updateapigee.envgroupattachments.createapigee.envgroupattachments.listapigee.instances.createapigee.instances.getapigee.instances.listapigee.instanceattachments.createapigee.instanceattachments.getapigee.instanceattachments.listapigee.operations.getapigee.operations.listapigee.organizations.createapigee.organizations.getapigee.organizations.updateapigee.projectorganizations.getapigee.projects.updateapigee.setupcontexts.getapigee.setupcontexts.update
|
付費和評估 |
|
API 啟用權限
啟用 Google Cloud API 時,需要下列權限:
| 角色 | 帳戶類型 | 目的 |
|---|---|---|
serviceusage.services.getserviceusage.services.enable |
付費和評估 | 啟用 Google Cloud API |
機構建立權限 (付費機構)
如要為付費帳戶 (訂閱或隨用隨付) 建立 Apigee 機構,您必須具備下列權限:
| 權限 | 帳戶類型 | 目的 |
|---|---|---|
compute.regions.list |
僅限付費 | 選取 Analytics 代管位置 |
cloudkms.cryptoKeys.listcloudkms.locations.listcloudkms.keyRings.list
|
僅限付費 | 選取執行階段資料庫加密金鑰 |
cloudkms.cryptoKeys.createcloudkms.keyRings.create |
僅限付費 | 建立執行階段資料庫加密金鑰 |
cloudkms.cryptoKeys.getIamPolicycloudkms.cryptoKeys.setIamPolicy |
僅限付費 | 授予 Apigee 服務帳戶使用加密金鑰的權限 |
機構建立權限 (評估機構)
如要為評估機構選取 Analytics 和執行階段主機代管區域,必須具備這項權限:
| 權限 | 帳戶類型 | 目的 |
|---|---|---|
compute.regions.list |
僅限評估機構 | 選取數據分析和執行階段託管區域 |
Service Networking 權限
在服務網路設定步驟中,您需要這些權限。 如果您使用共用虛擬私有雲網路,請參閱「 使用共用虛擬私有雲的 Service Networking 權限」。
| 權限 | 帳戶類型 | 目的 |
|---|---|---|
compute.globalAddresses.createInternalcompute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.networks.get
compute.networks.list
compute.networks.use
compute.projects.get
servicenetworking.operations.get
servicenetworking.services.addPeering
servicenetworking.services.get
|
付費和評估 | 您必須具備這些權限,才能在服務網路設定步驟中執行工作。 |
使用共用虛擬私有雲的服務網路權限
如果您使用共用虛擬私有雲 (VPC) 網路,共用 VPC 專案中具有管理權限的使用者必須與 Apigee 建立共用 VPC 專案的對等互連,如「 使用共用 VPC 網路」一文所述。完成對等互連後,Apigee 管理員才能完成服務聯網步驟。另請參閱「管理員和身分與存取權管理」。
正確設定共用虛擬私有雲後,Apigee 管理員需要下列權限,才能完成服務網路設定步驟:
| 權限 | 帳戶類型 | 目的 |
|---|---|---|
compute.projects.get
|
付費和評估 | Apigee 管理員必須在安裝 Apigee 的專案中擁有這項權限。 管理員可透過這項權限查看共用虛擬私有雲主專案 ID。 |
| Compute 網路使用者角色 ( compute.networkUser) |
付費和評估 | Apigee 管理員必須在共用虛擬私有雲主專案中獲授予這個角色。 管理員可透過這個角色,在 Apigee 佈建使用者介面中查看及選取共用 VPC 網路。 |
執行階段執行個體權限
您必須具備下列權限,才能建立執行階段執行個體 (僅限訂閱和隨用隨付帳戶):
| 權限 | 帳戶類型 | 目的 |
|---|---|---|
compute.regions.list |
僅限付費 | 選取執行階段代管位置 |
cloudkms.cryptoKeys.listcloudkms.locations.listcloudkms.keyRings.list
|
僅限付費 | 選取執行階段磁碟加密金鑰 |
cloudkms.cryptoKeys.createcloudkms.keyRings.create |
僅限付費 | 建立執行階段磁碟加密金鑰 |
cloudkms.cryptoKeys.getIamPolicycloudkms.cryptoKeys.setIamPolicy |
僅限付費 | 授予 Apigee 服務帳戶使用加密金鑰的權限 |
存取路徑權限
存取路徑步驟需要下列權限:
| 權限 | 帳戶類型 | 目的 |
|---|---|---|
compute.autoscalers.createcompute.backendServices.createcompute.backendServices.usecompute.disks.createcompute.globalAddresses.createcompute.globalAddresses.getcompute.globalAddresses.listcompute.globalAddresses.usecompute.globalForwardingRules.createcompute.globalOperations.getcompute.firewalls.createcompute.firewalls.getcompute.healthChecks.createcompute.healthChecks.useReadOnlycompute.images.getcompute.images.useReadOnlycompute.instances.createcompute.instances.setMetadatacompute.instanceGroups.usecompute.instanceGroupManagers.createcompute.instanceGroupManagers.usecompute.instanceTemplates.getcompute.instanceTemplates.createcompute.instanceTemplates.useReadOnlycompute.networks.getcompute.networks.listcompute.networks.updatePolicycompute.networks.usecompute.regionOperations.getcompute.regionNetworkEndpointGroups.createcompute.regionNetworkEndpointGroups.deletecompute.regionNetworkEndpointGroups.usecompute.sslCertificates.createcompute.sslCertificates.getcompute.subnetworks.getcompute.subnetworks.listcompute.subnetworks.setPrivateIpGoogleAccesscompute.subnetworks.usecompute.targetHttpsProxies.createcompute.targetHttpsProxies.usecompute.urlMaps.createcompute.urlMaps.use
|
付費和評估 | 設定基本存取權轉送 |
透過共用虛擬私有雲存取路由權限
如果您使用 共用虛擬私有雲 (VPC) 網路,請注意,您必須先完成共用虛擬私有雲設定和對等互連,才能執行存取路徑設定步驟。
共用虛擬私有雲設定完成後,Apigee 管理員需要
compute.networkUser 共用虛擬私有雲專案中的角色,才能完成存取路徑步驟。另請參閱共用虛擬私有雲的
必要管理員角色。