À propos des autorisations de provisionnement Apigee

Cette page s'applique à Apigee, mais pas à Apigee hybrid.

Consultez la documentation d'Apigee Edge.

Ce document décrit les autorisations Google Cloud IAM requises pour provisionner Apigee.

Vous pouvez spécifier des autorisations à l'aide des éléments suivants :

Rôles prédéfinis : vous devez accorder des autorisations suffisantes pour effectuer les étapes de provisionnement. Les rôles prédéfinis peuvent accorder à l'administrateur Apigee plus d'autorisations que nécessaire pour effectuer le provisionnement.
Rôles personnalisés : fournissez le moindre privilège nécessaire pour effectuer les étapes de provisionnement.

Rôle Propriétaire du projet Google Cloud

Le propriétaire du projet Google Cloud utilisé pour le provisionnement Apigee est déjà autorisé à effectuer toutes les étapes de provisionnement de base d'Apigee.

Si l'approvisionneur Apigee n'est pas le propriétaire du projet, utilisez ce document pour déterminer les autorisations nécessaires pour effectuer chacune des étapes de provisionnement.

Si vous utilisez un réseau VPC (Virtual Private Cloud, cloud privé virtuel) partagé, des autorisations supplémentaires sont requises dans le projet de VPC partagé. Ces cas sont également mentionnés dans ce document.

Rôles prédéfinis

Si vous souhaitez simplement vous assurer que l'administrateur Apigee est autorisé à effectuer le provisionnement, attribuez à l'administrateur Apigee les rôles IAM prédéfinis suivants. Toutefois, les rôles prédéfinis peuvent accorder à l'administrateur Apigee plus d'autorisations que nécessaire pour effectuer le provisionnement. Consultez la section Rôles et autorisations personnalisés pour fournir les moindres privilèges nécessaires.

Spécifier un rôle prédéfini

Pour ajouter des utilisateurs et des rôles :

Dans la console Google Cloud, accédez à IAM et administration > IAM pour votre projet.

Accéder à la page IAM/Iam
Pour ajouter un compte utilisateur, procédez comme suit :
1. Cliquez sur Accorder l'accès.
2. Saisissez un nouveau nom pour le Compte principal.
3. Cliquez sur le menu Sélectionner un rôle, puis saisissez le nom du rôle dans le champ Filtre. Par exemple : Apigee Organization Admin. Cliquez sur le rôle répertorié dans les résultats.
4. Cliquez sur Save (Enregistrer).
Pour modifier les informations associées à un utilisateur existant, procédez comme suit :
1. Cliquez sur Modifier.
2. Pour modifier un rôle existant, cliquez sur le menu Rôle, puis sélectionnez un autre rôle.
3. Pour ajouter un autre rôle, cliquez sur Ajouter un autre rôle.
4. Cliquez sur le menu Sélectionner un rôle, puis saisissez le nom du rôle dans le champ Filtre. Par exemple : Apigee Organization Admin. Cliquez sur le rôle répertorié dans les résultats.
5. Cliquez sur Save (Enregistrer).

Rôle	Obligatoire pour les étapes	Type de compte	Objectif
Administrateur de l'organisation Apigee `apigee.admin`	Démarrer le provisionnement Apigee Créer une organisation Créez un environnement Créez une instance Apigee	Payant et d'évaluation	Accès complet à toutes les fonctionnalités des ressources Apigee
Administrateur Service Usage `serviceusage.serviceUsageAdmin`	Activer les API	Payant et d'évaluation	Possibilité d'activer, de désactiver et d'inspecter les états de service ; d'inspecter les opérations ; et de consommer les quotas et la facturation pour un projet destiné au consommateur.
Administrateur Cloud KMS `cloudkms.admin`	Créer une organisation Configurer une instance d'exécution	Payant uniquement	Création de clés et de trousseaux de clés Cloud KMS
Administrateur de réseaux Compute `compute.networkAdmin`	Créer une organisation Configurer une instance d'exécution Configurez la mise en réseau du service. Configurer le routage des accès (pour créer l'équilibreur de charge HTTPS externe)	Payant et d'évaluation	Répertoriez les régions Compute, configurer la mise en réseau de services et créer l'équilibreur de charge HTTPS externe.

Rôles et autorisations personnalisés

Pour fournir les moindres privilèges nécessaires, créez un rôle personnalisé IAM et attribuez les autorisations présentées dans les sections suivantes.

Spécifier un rôle personnalisé

Pour ajouter un rôle personnalisé, procédez comme suit :

Dans la console Google Cloud, accédez à IAM et administration > Rôles pour votre projet.

Accéder à la page "IAM et administration/Rôles"
Pour ajouter un rôle, procédez comme suit :
1. Cliquez sur Créer un rôle.
2. Saisissez un nouveau titre.
3. Saisissez une description (facultatif).
4. Saisissez un ID.
5. Sélectionnez une étape de lancement du rôle.
6. Cliquez sur Ajouter des autorisations.
7. Copiez le texte d'autorisation souhaité à partir des tableaux ci-dessous, puis collez-le dans le champ Filtre. Par exemple, apigee.environments.create.
8. Appuyez sur Entrée ou cliquez sur un élément des résultats.
9. Cochez la case correspondant à l'élément que vous venez d'ajouter.
10. Cliquez sur Ajouter.
  Remarque : Pour ajouter plusieurs autorisations à la fois, procédez comme suit :
  - Sélectionnez l'opérateur OR entre chaque autorisation à mesure que vous les ajoutez, ou ;
  - Recherchez une chaîne d'autorisation partielle, par exemple apigee.environments, cochez plusieurs cases, puis cliquez sur Enregistrer.
11. Une fois que vous avez ajouté toutes les autorisations associées à ce rôle, cliquez sur Créer.
Pour modifier un rôle personnalisé existant, procédez comme suit :
1. Localisez le rôle personnalisé.
2. Cliquez sur Plus > Modifier.
3. Apportez toutes les modifications nécessaires.
4. Cliquez sur Update (Mettre à jour).

Autorisations de gestion Apigee basées sur l'UI

Cette autorisation est requise pour tous les utilisateurs qui géreront une organisation via l'interface utilisateur Apigee dans Cloud Console. Incluez-la dans des rôles personnalisés qui impliquent une gestion via cette interface.

Rôle	Type de compte	Usage
`apigee.projectorganizations.get`	Payant et d'évaluation	Effectuez toutes les actions via l'interface utilisateur Apigee dans Cloud Console.

Autorisations de provisionnement

Ces autorisations sont nécessaires pour commencer à provisionner Apigee :

Rôle	Type de compte	Usage
`apigee.entitlements.get` `apigee.environments.create` `apigee.environments.get` `apigee.environments.list` `apigee.envgroups.create` `apigee.envgroups.get` `apigee.envgroups.list` `apigee.envgroups.update` `apigee.envgroupattachments.create` `apigee.envgroupattachments.list` `apigee.instances.create` `apigee.instances.get` `apigee.instances.list` `apigee.instanceattachments.create` `apigee.instanceattachments.get` `apigee.instanceattachments.list` `apigee.operations.get` `apigee.operations.list` `apigee.organizations.create` `apigee.organizations.get` `apigee.organizations.update` `apigee.projectorganizations.get` `apigee.projects.update` `apigee.setupcontexts.get` `apigee.setupcontexts.update`	Payant et d'évaluation	Démarrer le provisionnement Apigee Créer une organisation Créez un environnement Créez une instance Apigee

Autorisations d'activation de l'API

Ces autorisations sont requises pour activer les API Google Cloud :

Rôle	Type de compte	Usage
`serviceusage.services.get` `serviceusage.services.enable`	Payant et d'évaluation	Activer des API Google Cloud

Autorisations de création d'organisation (organisation payante)

Ces autorisations sont nécessaires pour créer une organisation Apigee pour les comptes payants (abonnement ou paiement à l'usage) :

Autorisations	Type de compte	Usage
`compute.regions.list`	Payant uniquement	Sélectionner un emplacement d'hébergement de données analytiques
`cloudkms.cryptoKeys.list` `cloudkms.locations.list` `cloudkms.keyRings.list`	Payant uniquement	Sélectionner une clé de chiffrement de base de données d'exécution
`cloudkms.cryptoKeys.create` `cloudkms.keyRings.create`	Payant uniquement	Créer une clé de chiffrement de base de données d'exécution
`cloudkms.cryptoKeys.getIamPolicy` `cloudkms.cryptoKeys.setIamPolicy`	Payant uniquement	Accorder au compte de service Apigee l'autorisation d'utiliser une clé de chiffrement

Autorisations de création d'organisation (organisation d'évaluation)

Cette autorisation est requise pour sélectionner des régions d'hébergement de données analytiques et d'exécution pour une organisation d'évaluation :

Autorisations	Type de compte	Usage
`compute.regions.list`	Organisations d'évaluation uniquement	Sélectionner des régions d'hébergement de données analytiques et d'exécution

Autorisations de mise en réseau de services

Ces autorisations sont nécessaires dans les étapes de configuration de la mise en réseau de services. Si vous utilisez un réseau VPC partagé, consultez la section Autorisations de mise en réseau de services avec un VPC partagé.

Autorisations	Type de compte	Usage
`compute.globalAddresses.createInternal` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalAddresses.use` `compute.networks.get` `compute.networks.list` `compute.networks.use` `compute.projects.get` `servicenetworking.operations.get` `servicenetworking.services.addPeering` `servicenetworking.services.get`	Payant et d'évaluation	Ces autorisations sont nécessaires pour effectuer les tâches de l'étape de configuration de la mise en réseau de services. Remarque : Si vous utilisez un réseau cloud privé virtuel (VPC) partagé, consultez la section Autorisations de mise en réseau de services avec un VPC partagé.

Autorisations de mise en réseau de services avec un VPC partagé

Si vous utilisez une mise en réseau de cloud privé virtuel (VPC) partagé, un utilisateur disposant de droits d'administrateur dans le projet VPC partagé doit appairer le projet VPC partagé à Apigee, comme décrit dans la page Utiliser des réseaux VPC partagés. L'appairage doit être terminé pour que l'administrateur Apigee puisse effectuer les étapes de mise en réseau du service. Consultez également la section Administrateurs et IAM.

Lorsque le VPC partagé est correctement configuré, l'administrateur Apigee a besoin de ces autorisations pour effectuer les étapes de configuration de la mise en réseau de services :

Autorisations	Type de compte	Usage
`compute.projects.get`	Payant et d'évaluation	L'administrateur Apigee doit disposer de cette autorisation dans le projet où Apigee est installé. Cette autorisation permet à l'administrateur d'afficher l'ID du projet hôte de VPC partagé.
Rôle d'utilisateur de réseau de Compute (`compute.networkUser`)	Payant et d'évaluation	L'administrateur Apigee doit disposer de ce rôle dans le projet hôte de VPC partagé. Ce rôle permet à l'administrateur d'afficher et de sélectionner le réseau VPC partagé dans l'interface utilisateur de gestion des comptes Apigee.

Autorisations concernant les instances d'exécution

Ces autorisations sont nécessaires pour créer une instance d'exécution (comptes d'abonnement et de paiement à l'usage uniquement) :

Autorisations	Type de compte	Usage
`compute.regions.list`	Payant uniquement	Sélectionner un emplacement d'hébergement d'exécution
`cloudkms.cryptoKeys.list` `cloudkms.locations.list` `cloudkms.keyRings.list`	Payant uniquement	Sélectionner une clé de chiffrement de disque d'exécution
`cloudkms.cryptoKeys.create` `cloudkms.keyRings.create`	Payant uniquement	Créer une clé de chiffrement de disque d'exécution
`cloudkms.cryptoKeys.getIamPolicy` `cloudkms.cryptoKeys.setIamPolicy`	Payant uniquement	Accorder au compte de service Apigee l'autorisation d'utiliser une clé de chiffrement

Autorisations de routage des accès

Ces autorisations sont nécessaires pour les étapes de routage des accès :

Autorisations	Type de compte	Usage
`compute.autoscalers.create` `compute.backendServices.create` `compute.backendServices.use` `compute.disks.create` `compute.globalAddresses.create` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalAddresses.use` `compute.globalForwardingRules.create` `compute.globalOperations.get` `compute.firewalls.create` `compute.firewalls.get` `compute.healthChecks.create` `compute.healthChecks.useReadOnly` `compute.images.get` `compute.images.useReadOnly` `compute.instances.create` `compute.instances.setMetadata` `compute.instanceGroups.use` `compute.instanceGroupManagers.create` `compute.instanceGroupManagers.use` `compute.instanceTemplates.get` `compute.instanceTemplates.create` `compute.instanceTemplates.useReadOnly` `compute.networks.get` `compute.networks.list` `compute.networks.updatePolicy` `compute.networks.use` `compute.regionOperations.get` `compute.regionNetworkEndpointGroups.create` `compute.regionNetworkEndpointGroups.use` `compute.sslCertificates.create` `compute.sslCertificates.get` `compute.subnetworks.get` `compute.subnetworks.list` `compute.subnetworks.setPrivateIpGoogleAccess` `compute.subnetworks.use` `compute.targetHttpsProxies.create` `compute.targetHttpsProxies.use` `compute.urlMaps.create` `compute.urlMaps.use`	Payant et d'évaluation	Configurer le routage d'accès de base Remarque : Si vous utilisez un réseau cloud privé virtuel (VPC), consultez la section Autorisations de routage des accès avec un VPC partagé.

Autorisations de routage des accès avec un VPC partagé

Si vous utilisez un réseau VPC partagé, sachez que vous devez effectuer la configuration et l'appairage du VPC partagé avant de pouvoir effectuer l'étape de routage des accès.

Une fois le VPC partagé configuré correctement, l'administrateur Apigee requiert le rôle compute.networkUser dans le projet VPC partagé pour effectuer les étapes de routage des accès. Consultez également la section Rôles administratifs requis pour le VPC partagé.