Apigee-Bereitstellungsberechtigungen

Diese Seite gilt für Apigee, aber nicht für Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

In diesem Dokument werden die Google Cloud IAM-Berechtigungen beschrieben, die zur erfolgreichen Bereitstellung von Apigee erforderlich sind.

Berechtigungen können folgendermaßen angegeben werden:

Vordefinierte Rollen: Sie benötigen ausreichende Berechtigungen für die Bereitstellung. Vordefinierte Rollen geben dem Apigee-Administrator möglicherweise mehr Berechtigungen als zur Bereitstellung erforderlich.
Benutzerdefinierte Rollen: Stellen Sie die geringstmögliche Berechtigung bereit, die für die Bereitstellungsschritte erforderlich ist.

Rolle „Google Cloud-Projektinhaber“

Der Inhaber des Google Cloud-Projekts, das für die Apigee-Bereitstellung verwendet wird, ist bereits berechtigt, alle grundlegenden Apigee-Bereitstellungsschritte auszuführen.

Wenn der Apigee-Bereitsteller nicht der Projektinhaber ist, ermitteln Sie anhand dieses Dokuments die Berechtigungen, die zum Ausführen der einzelnen Schritte erforderlich sind.

Wenn Sie ein freigegebenes VPC-Netzwerk (Shared Virtual Private Cloud) verwenden, sind zusätzliche Berechtigungen im freigegebenen VPC-Projekt erforderlich. Diese Fälle werden in diesem Dokument ebenfalls behandelt.

Vordefinierte Rollen

Wenn Sie nur prüfen möchten, ob der Apigee-Administrator ausreichende Berechtigungen zum Beenden der Bereitstellung hat, erteilen Sie dem Apigee-Administrator folgende vordefinierte IAM-Rollen. Vordefinierte Rollen können Apigee-Administratoren jedoch mehr Berechtigungen geben, als sie zum Bereitstellen benötigen. Unter Benutzerdefinierte Rollen und Berechtigungen erfahren Sie, wie Sie nur die erforderlichen Berechtigungen erteilen.

Vordefinierte Rolle angeben

So fügen Sie Nutzer und Rollen hinzu:

Rufen Sie in der Google Cloud Console IAM & Verwaltung > IAM für Ihr Projekt auf.

Zur Seite „IAM/Iam“
So fügen Sie einen neuen Nutzer hinzu:
1. Klicken Sie auf Zugriff erlauben.
2. Geben Sie einen neuen Hauptkontonamen ein.
3. Klicken Sie auf das Menü Rolle auswählen und geben Sie den Namen der Rolle in das Feld Filter ein. Beispiel: Apigee Organization Admin. Klicken Sie auf die in den Ergebnissen aufgeführte Rolle.
4. Klicken Sie auf Speichern.
So bearbeiten Sie einen vorhandenen Nutzer:
1. Klicken Sie auf Bearbeiten.
2. Wenn Sie eine vorhandene Rolle ändern möchten, klicken Sie auf das Menü Rolle und wählen Sie dann eine andere Rolle aus.
3. Klicken Sie auf Weitere Rolle hinzufügen, um eine Rolle hinzuzufügen.
4. Klicken Sie auf das Menü Rolle auswählen und geben Sie den Namen der Rolle in das Feld Filter ein. Beispiel: Apigee Organization Admin. Klicken Sie auf die in den Ergebnissen aufgeführte Rolle.
5. Klicken Sie auf Speichern.

Rolle	Erforderlich für Schritte	Kontotyp	Zweck
Apigee-Organisationsadministrator `apigee.admin`	Apigee-Bereitstellung starten Organisation erstellen Umgebung erstellen Apigee-Instanz erstellen	Kostenpflichtig und Evaluierung	Gewährt vollständigen Zugriff auf alle Apigee-Ressourcen-Features
Service Usage-Administrator `serviceusage.serviceUsageAdmin`	APIs aktivieren	Kostenpflichtig und Evaluierung	Erlaubnis, Dienststatus zu aktivieren, zu deaktivieren und zu überprüfen, Vorgänge zu überprüfen, sowie Kontingent und Abrechnung für ein Consumer-Projekt zu verarbeiten.
Cloud KMS-Administrator `cloudkms.admin`	Organisation erstellen Laufzeitinstanz konfigurieren	Nur kostenpflichtig	Cloud KMS-Schlüssel und -Schlüsselbunde erstellen
Compute-Netzwerkadministrator `compute.networkAdmin`	Organisation erstellen Laufzeitinstanz konfigurieren Dienstnetzwerk konfigurieren Zugriffsrouting konfigurieren (zum Erstellen des externen HTTPS-Load-Balancers)	Kostenpflichtig und Evaluierung	Compute-Regionen auflisten, Dienstnetzwerk einrichten und externen HTTPS-Load-Balancer erstellen.

Benutzerdefinierte Rollen und Berechtigungen

Erstellen Sie eine benutzerdefinierte IAM-Rolle und weisen Sie Berechtigungen aus den folgenden Abschnitten zu, um nur die notwendigen Berechtigungen bereitzustellen.

Benutzerdefinierte Rollen angeben

So fügen Sie eine benutzerdefinierte Rolle hinzu:

Rufen Sie in der Google Cloud Console IAM & Verwaltung > IAM für Ihr Projekt auf.

Zur Seite "IAM & Verwaltung/Rollen"
So fügen Sie eine neue Rolle hinzu:
1. Klicken Sie auf Rolle erstellen.
2. Geben Sie einen neuen Titel ein.
3. Geben Sie eine Beschreibung ein (optional).
4. Geben Sie eine ID ein.
5. Wählen Sie eine Rollenstartphase.
6. Klicken Sie auf Berechtigungen hinzufügen.
7. Kopieren Sie den gewünschten Berechtigungstext aus den folgenden Tabellen und fügen Sie ihn in das Feld Filter ein. Beispiel: apigee.environments.create.
8. Drücken Sie die Eingabetaste oder klicken Sie auf eines der Elemente der Ergebnisse.
9. Markieren Sie das Kästchen für das gerade hinzugefügte Element.
10. Klicken Sie auf Hinzufügen.
  Hinweis: So fügen Sie mehrere Berechtigungen gleichzeitig hinzu:
  - Wählen Sie zwischen den einzelnen Berechtigungen, die Sie hinzufügen, den OR-Operator aus, oder
  - Suchen Sie nach einem partiellen Berechtigungsstring, z. B. apigee.environments, markieren Sie mehrere Kästchen und klicken Sie dann auf Speichern.
11. Nachdem Sie alle Berechtigungen für diese Rolle hinzugefügt haben, klicken Sie auf Erstellen.
So bearbeiten Sie eine vorhandene benutzerdefinierte Rolle:
1. Suchen Sie die benutzerdefinierte Rolle.
2. Klicken Sie auf Mehr > Bearbeiten.
3. Nehmen Sie die gewünschten Änderungen vor.
4. Klicken Sie auf Aktualisieren.

UI-basierte Apigee-Verwaltungsberechtigungen

Diese Berechtigung ist für alle Nutzer erforderlich, die eine Organisation über die Apigee-UI in der Cloud Console verwalten. Sie können sie in benutzerdefinierte Rollen aufnehmen, die die Verwaltung über diese Oberfläche beinhalten.

Rolle	Kontotyp	Zweck
`apigee.projectorganizations.get`	Kostenpflichtig und Evaluierung	Führen Sie alle Aktionen über die Apigee-UI in der Cloud Console aus.

Berechtigungen bereitstellen

Diese Berechtigungen sind erforderlich, um Apigee bereitzustellen:

Rolle	Kontotyp	Zweck
`apigee.entitlements.get` `apigee.environments.create` `apigee.environments.get` `apigee.environments.list` `apigee.envgroups.create` `apigee.envgroups.get` `apigee.envgroups.list` `apigee.envgroups.update` `apigee.envgroupattachments.create` `apigee.envgroupattachments.list` `apigee.instances.create` `apigee.instances.get` `apigee.instances.list` `apigee.instanceattachments.create` `apigee.instanceattachments.get` `apigee.instanceattachments.list` `apigee.operations.get` `apigee.operations.list` `apigee.organizations.create` `apigee.organizations.get` `apigee.organizations.update` `apigee.projectorganizations.get` `apigee.projects.update` `apigee.setupcontexts.get` `apigee.setupcontexts.update`	Kostenpflichtig und Evaluierung	Apigee-Bereitstellung starten Organisation erstellen Umgebung erstellen Apigee-Instanz erstellen

Berechtigungen für die API-Aktivierung

Diese Berechtigungen sind erforderlich, um Google Cloud APIs zu aktivieren:

Rolle	Kontotyp	Zweck
`serviceusage.services.get` `serviceusage.services.enable`	Kostenpflichtig und Evaluierung	Google Cloud APIs aktivieren

Berechtigungen zur Erstellung einer Organisation (kostenpflichtige Organisation)

Diese Berechtigungen sind erforderlich, um eine Apigee-Organisation für kostenpflichtige Konten (Abo oder Pay-as-you-go) zu erstellen:

Berechtigungen	Kontotyp	Zweck
`compute.regions.list`	Nur kostenpflichtig	Analyse-Hosting-Standort auswählen
`cloudkms.cryptoKeys.list` `cloudkms.locations.list` `cloudkms.keyRings.list`	Nur kostenpflichtig	Verschlüsselungsschlüssel für die Laufzeitdatenbank auswählen
`cloudkms.cryptoKeys.create` `cloudkms.keyRings.create`	Nur kostenpflichtig	Verschlüsselungsschlüssel für die Laufzeitdatenbank erstellen
`cloudkms.cryptoKeys.getIamPolicy` `cloudkms.cryptoKeys.setIamPolicy`	Nur kostenpflichtig	Apigee-Dienstkonto die Berechtigung zur Verwendung eines Verschlüsselungsschlüssels erteilen

Berechtigungen zur Erstellung einer Organisation (Evaluierungsorganisation)

Diese Berechtigung ist erforderlich, um Analyse- und Laufzeit-Hosting-Regionen für eine Evaluierungsorganisation auszuwählen:

Berechtigungen	Kontotyp	Zweck
`compute.regions.list`	Nur Evaluierungsorganisationen	Analyse- und Laufzeit-Hosting-Regionen auswählen

Berechtigungen für das Dienstnetzwerk

Diese Berechtigungen sind in den Schritten der Dienstnetzwerkkonfiguration erforderlich. Wenn Sie ein freigegebenes VPC-Netzwerk verwenden, finden Sie weitere Informationen unter Dienstnetzwerkberechtigungen mit freigegebener VPC.

Berechtigungen	Kontotyp	Zweck
`compute.globalAddresses.createInternal` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalAddresses.use` `compute.networks.get` `compute.networks.list` `compute.networks.use` `compute.projects.get` `servicenetworking.operations.get` `servicenetworking.services.addPeering` `servicenetworking.services.get`	Kostenpflichtig und Evaluierung	Diese Berechtigungen sind erforderlich, um die Aufgaben im Schritt zur Konfiguration des Dienstnetzwerks auszuführen. Hinweis: Wenn Sie ein freigegebenes VPC-Netzwerk (Virtual Private Cloud) verwenden, finden Sie weitere Informationen unter Dienstnetzwerkberechtigungen mit freigegebener VPC.

Dienstnetzwerkberechtigungen mit freigegebener VPC

Wenn Sie ein freigegebenes VPC-Netzwerk (Shared Virtual Private Cloud) verwenden, muss ein Nutzer mit Administratorberechtigungen im freigegebenen VPC-Projekt das VPC-Projekt mit Apigee verbinden, wie unter Freigegebene VPC-Netzwerke verwenden beschrieben. Das Peering muss abgeschlossen sein, bevor der Apigee-Administrator die Schritte für das Dienstnetzwerk ausführen kann. Siehe auch Administratoren und IAM.

Wenn eine freigegebene VPC ordnungsgemäß eingerichtet ist, benötigt der Apigee-Administrator diese Berechtigungen, um die Schritte zur Konfiguration des Dienstnetzwerks auszuführen:

Berechtigungen	Kontotyp	Zweck
`compute.projects.get`	Kostenpflichtig und Evaluierung	Der Apigee-Administrator muss diese Berechtigung in dem Projekt haben, in dem Apigee installiert ist. Diese Berechtigung ermöglicht dem Administrator, die ID des Hostprojekts mit freigegebener VPC aufzurufen.
Rolle "Compute-Netzwerknutzer" (`compute.networkUser`)	Kostenpflichtig und Evaluierung	Diese Rolle muss dem Apigee-Administrator im Hostprojekt mit freigegebener VPC zugewiesen werden. Mit dieser Rolle kann der Administrator das freigegebene VPC-Netzwerk in der Apigee-Bereitstellungs-UI aufrufen und auswählen.

Berechtigungen für Laufzeitinstanz

Diese Berechtigungen werden zum Erstellen einer Laufzeitinstanz benötigt (nur für Abo- und Pay-as-you-go-Konten):

Berechtigungen	Kontotyp	Zweck
`compute.regions.list`	Nur kostenpflichtig	Laufzeit-Hosting-Standort auswählen
`cloudkms.cryptoKeys.list` `cloudkms.locations.list` `cloudkms.keyRings.list`	Nur kostenpflichtig	Verschlüsselungsschlüssel für Laufzeitlaufwerk auswählen
`cloudkms.cryptoKeys.create` `cloudkms.keyRings.create`	Nur kostenpflichtig	Verschlüsselungsschlüssel für Laufzeitlaufwerk erstellen
`cloudkms.cryptoKeys.getIamPolicy` `cloudkms.cryptoKeys.setIamPolicy`	Nur kostenpflichtig	Apigee-Dienstkonto die Berechtigung zur Verwendung eines Verschlüsselungsschlüssels erteilen

Berechtigungen für Zugriffsrouting

Diese Berechtigungen werden für die Schritte für das Zugriffsrouting benötigt:

Berechtigungen	Kontotyp	Zweck
`compute.autoscalers.create` `compute.backendServices.create` `compute.backendServices.use` `compute.disks.create` `compute.globalAddresses.create` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalAddresses.use` `compute.globalForwardingRules.create` `compute.globalOperations.get` `compute.firewalls.create` `compute.firewalls.get` `compute.healthChecks.create` `compute.healthChecks.useReadOnly` `compute.images.get` `compute.images.useReadOnly` `compute.instances.create` `compute.instances.setMetadata` `compute.instanceGroups.use` `compute.instanceGroupManagers.create` `compute.instanceGroupManagers.use` `compute.instanceTemplates.get` `compute.instanceTemplates.create` `compute.instanceTemplates.useReadOnly` `compute.networks.get` `compute.networks.list` `compute.networks.updatePolicy` `compute.networks.use` `compute.regionOperations.get` `compute.regionNetworkEndpointGroups.create` `compute.regionNetworkEndpointGroups.use` `compute.sslCertificates.create` `compute.sslCertificates.get` `compute.subnetworks.get` `compute.subnetworks.list` `compute.subnetworks.setPrivateIpGoogleAccess` `compute.subnetworks.use` `compute.targetHttpsProxies.create` `compute.targetHttpsProxies.use` `compute.urlMaps.create` `compute.urlMaps.use`	Kostenpflichtig und Evaluierung	Basiszugriffsrouting konfigurieren Hinweis: Wenn Sie ein freigegebenes VPC-Netzwerk verwenden, finden Sie weitere Informationen unter Zugriffsrouting-Berechtigungen mit freigegebener VPC.

Zugriffsrouting-Berechtigungen mit freigegebener VPC

Wenn Sie ein freigegebenes VPC-Netzwerk (Virtual Private Cloud) verwenden, müssen Sie beachten, dass die Konfiguration der freigegebenen VPC und das Peering abgeschlossen sein müssen, bevor Sie den Schritt für das Zugriffsrouting ausführen können.

Nachdem die freigegebene VPC ordnungsgemäß eingerichtet wurde, benötigt der Apigee-Administrator die Rolle compute.networkUser im Projekt der freigegebenen VPC, um die Schritte für das Zugriffsrouting auszuführen. Siehe auch Erforderliche administrative Rollen für freigegebene VPC.