Acerca das autorizações de aprovisionamento do Apigee

Esta página aplica-se ao Apigee, mas não ao Apigee Hybrid.

Veja a documentação do Apigee Edge.

Este documento descreve as autorizações de IAM do Google Cloud necessárias para aprovisionar o Apigee com êxito.

Pode especificar autorizações através do seguinte:

• Funções predefinidas: conceda autorizações suficientes para realizar os passos de aprovisionamento. As funções predefinidas podem conceder ao administrador do Apigee mais autorizações do que as necessárias para concluir o aprovisionamento.
• Funções personalizadas: Conceda o privilégio mínimo necessário para realizar os passos de aprovisionamento.

Função de proprietário do projeto do Google Cloud

O proprietário do projeto do Google Cloud usado para o aprovisionamento do Apigee já tem autorização para realizar todos os passos básicos de aprovisionamento do Apigee.

Se o aprovisionador do Apigee não for o proprietário do projeto, use este documento para determinar as autorizações necessárias para realizar cada um dos passos de aprovisionamento.

Se usar redes da nuvem virtual privada (VPC) partilhada, são necessárias autorizações adicionais no projeto da VPC partilhada, e estes casos também são indicados neste documento.

Funções predefinidas

Se apenas quiser certificar-se de que o administrador do Apigee tem autorização suficiente para concluir o aprovisionamento, atribua ao administrador do Apigee as seguintes funções predefinidas do IAM. No entanto, as funções predefinidas podem dar ao administrador do Apigee mais autorizações do que as necessárias para concluir o aprovisionamento. Consulte Funções e autorizações personalizadas para conceder os privilégios mínimos necessários.

Como especificar uma função predefinida

Para adicionar utilizadores e funções:

1. Na Google Cloud consola, aceda a IAM e administração > IAM para o seu projeto.

   Aceda à página IAM/Iam

2. Para adicionar um novo utilizador:
   1. Clique em Conceder acesso.
   2. Escreva um novo nome principal.
   3. Clique no menu Selecionar uma função e, de seguida, escreva o nome da função no campo Filtro. Por exemplo, Apigee Organization Admin. Clique na função apresentada nos resultados.
   4. Clique em Guardar.
3. Para editar um utilizador existente:
   1. Clique em edit Editar.
   2. Para alterar uma função existente, clique no menu Função e, de seguida, selecione uma função diferente.
   3. Para adicionar outra função, clique em Adicionar outra função.
   4. Clique no menu Selecionar uma função e, de seguida, escreva o nome da função no campo Filtro. Por exemplo, Apigee Organization Admin. Clique na função apresentada nos resultados.
   5. Clique em Guardar.

Função	Obrigatório para passos	Tipo de conta	Finalidade
Administrador da organização da Apigee apigee.admin	Inicie o aprovisionamento do Apigee Criar uma entidade Crie um ambiente Crie uma instância do Apigee	Pago e eval	Concede acesso total a todas as funcionalidades dos recursos do Apigee.
Administrador de utilização de serviços serviceusage.serviceUsageAdmin	Ativar APIs	Pago e eval	Capacidade de ativar, desativar e inspecionar estados de serviços, inspecionar operações e consumir quota e faturação para um projeto de consumidor.
Administrador do Cloud KMS cloudkms.admin	Criar uma entidade Configure uma instância de tempo de execução	Apenas pago	Criar chaves e conjuntos de chaves do Cloud KMS.
Administrador de computação compute.admin	Criar uma entidade Configure uma instância de tempo de execução Configure a rede de serviços Configure o encaminhamento de acesso (para criar o balanceador de carga HTTPS externo)	Pago e eval	Listar regiões de computação, configurar a rede de serviços e criar o balanceador de carga HTTPS externo.

Funções e autorizações personalizadas

Para conceder os privilégios mínimos necessários, crie uma função personalizada do IAM e atribua autorizações das secções seguintes.

Como especificar uma função personalizada

Para adicionar uma função personalizada:

1. Na Google Cloud consola, aceda a IAM e administração > Funções para o seu projeto.

   Aceda à página IAM e administração/funções

2. Para adicionar uma nova função:
   1. Clique em Criar função.
   2. Escreva um novo Título.
   3. Escreva uma descrição (opcional).
   4. Escreva um ID.
   5. Selecione uma Fase de lançamento da função.
   6. Clique em Adicionar autorizações.
   7. Copie o texto da autorização pretendido das tabelas abaixo e cole-o no campo Filtro. Por exemplo, apigee.environments.create.
   8. Prima Enter ou clique num item dos resultados.
   9. Selecione a caixa de verificação do item acabado de adicionar.
   10. Clique em Adicionar.
   11. Depois de adicionar todas as autorizações para esta função, clique em Criar.
3. Para editar uma função personalizada existente:
   1. Localize a função personalizada.
   2. Clique em more_vert Mais > Editar.
   3. Faça as alterações pretendidas.
   4. Clique em Atualizar.

Autorizações de gestão do Apigee baseadas na IU

Esta autorização é necessária para todos os utilizadores que vão gerir uma organização através da IU do Apigee na consola do Google Cloud. Inclua-a em funções personalizadas que envolvam a gestão através dessa interface.

Função	Tipo de conta	Finalidade
apigee.projectorganizations.get	Pago e eval	Realizar ações através da IU do Apigee na Cloud Console.

Autorizações de aprovisionamento

Estas autorizações são necessárias para iniciar o aprovisionamento do Apigee:

Função	Tipo de conta	Finalidade
apigee.entitlements.get apigee.environments.create apigee.environments.get apigee.environments.list apigee.envgroups.create apigee.envgroups.get apigee.envgroups.list apigee.envgroups.update apigee.envgroupattachments.create apigee.envgroupattachments.list apigee.instances.create apigee.instances.get apigee.instances.list apigee.instanceattachments.create apigee.instanceattachments.get apigee.instanceattachments.list apigee.operations.get apigee.operations.list apigee.organizations.create apigee.organizations.get apigee.organizations.update apigee.projectorganizations.get apigee.projects.update apigee.setupcontexts.get apigee.setupcontexts.update	Pago e eval	Inicie o aprovisionamento do Apigee Criar uma entidade Crie um ambiente Crie uma instância do Apigee

Autorizações de ativação de APIs

Estas autorizações são necessárias para ativar as APIs Google Cloud:

Função	Tipo de conta	Finalidade
serviceusage.services.get serviceusage.services.enable	Pago e eval	Ativar APIs Google Cloud

Autorizações de criação de organizações (organização paga)

Estas autorizações são necessárias para criar uma organização do Apigee para contas pagas (subscrição ou pagamento conforme o uso):

Autorizações	Tipo de conta	Finalidade
compute.regions.list	Apenas pago	Selecionar uma localização de alojamento de estatísticas
cloudkms.cryptoKeys.list cloudkms.locations.list cloudkms.keyRings.list	Apenas pago	Selecionar uma chave de encriptação da base de dados de tempo de execução
cloudkms.cryptoKeys.create cloudkms.keyRings.create	Apenas pago	Criar uma chave de encriptação da base de dados de tempo de execução
cloudkms.cryptoKeys.getIamPolicy cloudkms.cryptoKeys.setIamPolicy	Apenas pago	Conceder autorização à conta de serviço do Apigee para usar uma chave de encriptação

Autorizações de criação de organizações (org de avaliação)

Esta autorização é necessária para selecionar regiões de alojamento de estatísticas e de tempo de execução para uma organização de avaliação:

Autorizações	Tipo de conta	Finalidade
compute.regions.list	Apenas organizações de avaliação	Selecionar regiões de alojamento de estatísticas e de tempo de execução

Autorizações de rede de serviços

Estas autorizações são necessárias nos passos de configuração da rede de serviços. Se estiver a usar redes de VPC partilhada, consulte o artigo Autorizações de redes de serviços com a VPC partilhada.

Autorizações	Tipo de conta	Finalidade
compute.globalAddresses.createInternal compute.globalAddresses.get compute.globalAddresses.list compute.globalAddresses.use compute.networks.get compute.networks.list compute.networks.use compute.projects.get servicenetworking.operations.get servicenetworking.services.addPeering servicenetworking.services.get	Pago e eval	Estas autorizações são necessárias para realizar as tarefas no passo de configuração de rede de serviços.

Autorizações de rede de serviços com a VPC partilhada

Se estiver a usar redes de nuvem virtual privada (VPC) partilhada, um utilizador com privilégios administrativos no projeto de VPC partilhada tem de estabelecer uma relação de interconexão entre o projeto de VPC partilhada e o Apigee, conforme descrito no artigo Usar redes VPC partilhadas. A interligação tem de ser concluída antes de o administrador do Apigee poder concluir os passos de rede de serviços. Veja também Administradores e IAM.

Quando a VPC partilhada está corretamente configurada, o administrador do Apigee precisa destas autorizações para concluir os passos de configuração da rede de serviços:

Autorizações	Tipo de conta	Finalidade
compute.projects.get	Pago e eval	O administrador do Apigee tem de ter esta autorização no projeto onde o Apigee está instalado. Esta autorização permite que o administrador veja o ID do projeto anfitrião da VPC partilhada.
Função de utilizador da rede de computação (compute.networkUser)	Pago e eval	O administrador do Apigee tem de ter esta função atribuída no projeto anfitrião de VPC partilhada. Esta função permite ao administrador ver e selecionar a rede de VPC partilhada na IU de aprovisionamento do Apigee.

Autorizações de instâncias de tempo de execução

Estas autorizações são necessárias para criar uma instância de tempo de execução (apenas contas de subscrição e de pagamento conforme o uso):

Autorizações	Tipo de conta	Finalidade
compute.regions.list	Apenas pago	Selecionar uma localização de alojamento de tempo de execução
cloudkms.cryptoKeys.list cloudkms.locations.list cloudkms.keyRings.list	Apenas pago	Selecionar uma chave de encriptação de disco de tempo de execução
cloudkms.cryptoKeys.create cloudkms.keyRings.create	Apenas pago	Criar uma chave de encriptação de disco em tempo de execução
cloudkms.cryptoKeys.getIamPolicy cloudkms.cryptoKeys.setIamPolicy	Apenas pago	Conceder autorização à conta de serviço do Apigee para usar uma chave de encriptação

Aceda às autorizações de encaminhamento

Estas autorizações são necessárias para os passos de planeamento de trajeto de acesso:

Autorizações	Tipo de conta	Finalidade
compute.autoscalers.create compute.backendServices.create compute.backendServices.use compute.disks.create compute.globalAddresses.create compute.globalAddresses.get compute.globalAddresses.list compute.globalAddresses.use compute.globalForwardingRules.create compute.globalOperations.get compute.firewalls.create compute.firewalls.get compute.healthChecks.create compute.healthChecks.useReadOnly compute.images.get compute.images.useReadOnly compute.instances.create compute.instances.setMetadata compute.instanceGroups.use compute.instanceGroupManagers.create compute.instanceGroupManagers.use compute.instanceTemplates.get compute.instanceTemplates.create compute.instanceTemplates.useReadOnly compute.networks.get compute.networks.list compute.networks.updatePolicy compute.networks.use compute.regionOperations.get compute.regionNetworkEndpointGroups.create compute.regionNetworkEndpointGroups.delete compute.regionNetworkEndpointGroups.use compute.sslCertificates.create compute.sslCertificates.get compute.subnetworks.get compute.subnetworks.list compute.subnetworks.setPrivateIpGoogleAccess compute.subnetworks.use compute.targetHttpsProxies.create compute.targetHttpsProxies.use compute.urlMaps.create compute.urlMaps.use	Pago e eval	Configurar o encaminhamento de acesso básico

Aceda às autorizações de encaminhamento com a VPC partilhada

Se estiver a usar o trabalho em rede da nuvem virtual privada (VPC) partilhada, tenha em atenção que a configuração e o intercâmbio da VPC partilhada têm de ser concluídos antes de poder executar o passo de encaminhamento de acesso.

Depois de a VPC partilhada estar configurada corretamente, o administrador do Apigee precisa da função compute.networkUser no projeto da VPC partilhada para concluir os passos de encaminhamento de acesso. Consulte também Funções administrativas necessárias para a VPC partilhada.