Questa pagina si applica ad Apigee, ma non ad Apigee hybrid.
Visualizza la documentazione di
Apigee Edge.
Questo documento descrive le autorizzazioni IAM di Google Cloud necessarie per eseguire il provisioning di Apigee.
Puoi specificare le autorizzazioni utilizzando quanto segue:
- Ruoli predefiniti: Forniscono autorizzazioni sufficienti per eseguire i passaggi di provisioning. I ruoli predefiniti possono concedere all'amministratore di Apigee più autorizzazioni di quelle necessarie per completare il provisioning.
- Ruoli personalizzati: Fornisci il privilegio minimo necessario per eseguire i passaggi di provisioning.
Ruolo di proprietario del progetto Google Cloud
Il proprietario del progetto Google Cloud utilizzato per il provisioning di Apigee dispone già dell'autorizzazione per eseguire tutti i passaggi di provisioning di Apigee di base.
Se il provisioning di Apigee non è il proprietario del progetto, utilizza questo documento per determinare le autorizzazioni necessarie per eseguire ciascuno dei passaggi di provisioning.
Se utilizzi la rete Virtual Private Cloud (VPC) condivisa, sono necessarie autorizzazioni aggiuntive nel progetto VPC condiviso e queste situazioni sono indicate anche in questo documento.
Ruoli predefiniti
Se vuoi solo assicurarti che l'amministratore di Apigee disponga dell'autorizzazione sufficiente per completare il provisioning, assegnagli i seguenti ruoli IAM predefiniti. Tuttavia, i ruoli predefiniti potrebbero concedere all'amministratore di Apigee più autorizzazioni di quelle necessarie per completare il provisioning. Consulta la sezione Ruoli e autorizzazioni personalizzati per fornire i privilegi strettamente necessari.
Come specificare un ruolo predefinito
Per aggiungere utenti e ruoli:
Nella console Google Cloud, vai a IAM e amministrazione > IAM per il tuo progetto.
- Per aggiungere un nuovo utente:
- Fai clic su Concedi accesso.
- Digita un nuovo nome Principale.
- Fai clic sul menu Seleziona un ruolo e digita il nome del ruolo nel campo Filtro. Ad esempio,
Apigee Organization Admin. Fai clic sul ruolo elencato nei risultati. - Fai clic su Salva.
- Per modificare un utente esistente:
- Fai clic su Modifica.
- Per modificare un ruolo esistente, fai clic sul menu Ruolo e poi seleziona un ruolo diverso.
- Per aggiungere un altro ruolo, fai clic su Aggiungi un altro ruolo.
- Fai clic sul menu Seleziona un ruolo e digita il nome del ruolo nel campo Filtro. Ad esempio,
Apigee Organization Admin. Fai clic sul ruolo elencato nei risultati. - Fai clic su Salva.
| Ruolo | Obbligatorio per i passaggi | Tipo di account | Finalità |
|---|---|---|---|
Amministratore organizzazione Apigeeapigee.admin |
|
A pagamento ed eval | Concede l'accesso completo a tutte le funzionalità delle risorse Apigee. |
Service Usage Adminserviceusage.serviceUsageAdmin |
|
A pagamento ed eval | Può abilitare, disabilitare e analizzare gli stati dei servizi, analizzare le operazioni e utilizzare la quota e la fatturazione per un progetto consumer. |
Amministratore Cloud KMScloudkms.admin |
|
Solo a pagamento | Creazione di chiavi e keyring Cloud KMS. |
Compute Network Admincompute.networkAdmin |
|
A pagamento ed eval | Elencare le regioni Compute, configurare la rete di servizi e creare il bilanciatore del carico HTTPS esterno. |
Ruoli e autorizzazioni personalizzati
Per fornire i privilegi strettamente necessari, crea un ruolo IAM personalizzato e assegna le autorizzazioni dalle sezioni seguenti.
Come specificare un ruolo personalizzato
Per aggiungere un ruolo personalizzato:
Nella console Google Cloud, vai a IAM e amministrazione > Ruoli per il tuo progetto.
- Per aggiungere un nuovo ruolo:
- Fai clic su Crea ruolo.
- Digita un nuovo Titolo.
- (Facoltativo) Digita una descrizione.
- Digita un ID.
- Seleziona una Fase di lancio del ruolo.
- Fai clic su Aggiungi autorizzazioni.
- Copia il testo dell'autorizzazione che ti interessa dalle tabelle riportate di seguito e incollalo nel campo Filtro. Ad esempio,
apigee.environments.create. - Premi Invio o fai clic su un elemento tra i risultati.
- Seleziona la casella di controllo relativa all'elemento appena aggiunto.
- Fai clic su Aggiungi.
- Dopo aver aggiunto tutte le autorizzazioni per questo ruolo, fai clic su Crea.
- Per modificare un ruolo personalizzato esistente:
- Individua il ruolo personalizzato.
- Fai clic su Altro > Modifica.
- Apporta le modifiche che preferisci.
- Fai clic su Aggiorna.
Autorizzazioni di gestione di Apigee basate sull'interfaccia utente
Questa autorizzazione è obbligatoria per tutti gli utenti che gestiranno un'organizzazione tramite la UI di Apigee nella console Cloud. Includono i ruoli personalizzati che prevedono la gestione tramite questa interfaccia.
| Ruolo | Tipo di account | Finalità |
|---|---|---|
apigee.projectorganizations.get |
A pagamento ed eval |
|
Autorizzazioni di provisioning
Queste autorizzazioni sono necessarie per avviare il provisioning di Apigee:
| Ruolo | Tipo di account | Finalità |
|---|---|---|
apigee.entitlements.getapigee.environments.createapigee.environments.getapigee.environments.listapigee.envgroups.createapigee.envgroups.getapigee.envgroups.listapigee.envgroups.updateapigee.envgroupattachments.createapigee.envgroupattachments.listapigee.instances.createapigee.instances.getapigee.instances.listapigee.instanceattachments.createapigee.instanceattachments.getapigee.instanceattachments.listapigee.operations.getapigee.operations.listapigee.organizations.createapigee.organizations.getapigee.organizations.updateapigee.projectorganizations.getapigee.projects.updateapigee.setupcontexts.getapigee.setupcontexts.update
|
A pagamento ed eval |
|
Autorizzazioni di abilitazione delle API
Queste autorizzazioni sono necessarie per abilitare le API Google Cloud:
| Ruolo | Tipo di account | Finalità |
|---|---|---|
serviceusage.services.getserviceusage.services.enable |
A pagamento ed eval | Attivazione delle API Google Cloud |
Autorizzazioni per la creazione di organizzazioni (organizzazione a pagamento)
Queste autorizzazioni sono necessarie per creare un'organizzazione Apigee per gli account a pagamento (abbonamento o pagamento a consumo):
| Autorizzazioni | Tipo di account | Finalità |
|---|---|---|
compute.regions.list |
Solo a pagamento | Selezione di una località di hosting di Dati |
cloudkms.cryptoKeys.listcloudkms.locations.listcloudkms.keyRings.list
|
Solo a pagamento | Selezione di una chiave di crittografia del database di runtime |
cloudkms.cryptoKeys.createcloudkms.keyRings.create |
Solo a pagamento | Creazione di una chiave di crittografia del database di runtime |
cloudkms.cryptoKeys.getIamPolicycloudkms.cryptoKeys.setIamPolicy |
Solo a pagamento | Concedere all'account di servizio Apigee l'autorizzazione a utilizzare una chiave di crittografia |
Autorizzazioni per la creazione di organizzazioni (organizzazione di valutazione)
Questa autorizzazione è necessaria per selezionare le regioni di hosting di analisi e runtime per un'organizzazione di valutazione:
| Autorizzazioni | Tipo di account | Finalità |
|---|---|---|
compute.regions.list |
Solo organizzazioni di valutazione | Selezione delle regioni di hosting di analisi e runtime |
Autorizzazioni di networking di servizi
Queste autorizzazioni sono necessarie nei passaggi di configurazione della rete di servizi. Se utilizzi la rete VPC condivisa, consulta Autorizzazioni di rete di servizio con VPC condiviso.
Autorizzazioni di rete dei servizi con VPC condiviso
Se utilizzi il networking VPC (Virtual Private Cloud) condiviso, un utente con privilegi amministrativi nel progetto VPC condiviso deve eseguire il peering del progetto VPC condiviso con Apigee, come descritto in Utilizzare le reti VPC condivise. Il peering deve essere completato prima che l'amministratore di Apigee possa completare i passaggi di rete del servizio. Consulta anche Amministratori e IAM.
Quando il VPC condiviso è configurato correttamente, l'amministratore di Apigee deve disporre di queste autorizzazioni per completare i passaggi di configurazione della rete di servizio:
| Autorizzazioni | Tipo di account | Finalità |
|---|---|---|
compute.projects.get
|
A pagamento ed eval | L'amministratore di Apigee deve disporre di questa autorizzazione nel progetto in cui è installato Apigee. Questa autorizzazione consente all'amministratore di visualizzare l'ID progetto host della VPC condiviso. |
| Ruolo Utente di rete Compute ( compute.networkUser) |
A pagamento ed eval | All'amministratore di Apigee deve essere concesso questo ruolo nel progetto host VPC condiviso. Questo ruolo consente all'amministratore di visualizzare e selezionare la rete VPC condiviso nell'interfaccia utente di provisioning di Apigee. |
Autorizzazioni delle istanze di runtime
Queste autorizzazioni sono necessarie per creare un'istanza di runtime (solo account con abbonamento e pagamento a consumo):
| Autorizzazioni | Tipo di account | Finalità |
|---|---|---|
compute.regions.list |
Solo a pagamento | Selezionare una località di hosting del runtime |
cloudkms.cryptoKeys.listcloudkms.locations.listcloudkms.keyRings.list
|
Solo a pagamento | Selezione di una chiave di crittografia del disco di runtime |
cloudkms.cryptoKeys.createcloudkms.keyRings.create |
Solo a pagamento | Creazione di una chiave di crittografia disco di runtime |
cloudkms.cryptoKeys.getIamPolicycloudkms.cryptoKeys.setIamPolicy |
Solo a pagamento | Concedere all'account di servizio Apigee l'autorizzazione a utilizzare una chiave di crittografia |
Accedere alle autorizzazioni di routing
Queste autorizzazioni sono necessarie per i passaggi di instradamento dell'accesso:
Accedere alle autorizzazioni di routing con VPC condiviso
Se utilizzi la rete VPC (Virtual Private Cloud) condivisa, tieni presente che la configurazione e il peering del VPC condiviso devono essere completati prima di poter eseguire il passaggio di routing dell'accesso.
Una volta configurato correttamente il VPC condiviso, l'amministratore di Apigee deve disporre del ruolo
compute.networkUser nel progetto VPC condiviso per completare i passaggi di instradamento dell'accesso. Consulta anche
Ruoli amministrativi richiesti per la rete VPC condiviso.