Apigee 프로비저닝 권한 정보

이 페이지는 Apigee에 적용되지만 Apigee Hybrid에는 적용되지 않습니다.

Apigee Edge 문서 보기

이 문서에서는 Apigee를 성공적으로 프로비저닝하는 데 필요한 Google Cloud IAM 권한을 설명합니다.

다음을 사용하여 권한을 지정할 수 있습니다.

사전 정의된 역할: 프로비저닝 단계를 수행할 수 있는 충분한 권한을 제공합니다. 사전 정의된 역할은 프로비저닝을 완료하는 데 필요한 권한 보다 많은 권한을 Apigee 관리자에게 부여할 수 있습니다.
커스텀 역할: 프로비저닝 단계를 수행하는 데 필요한 최소 권한을 제공합니다.

Google Cloud 프로젝트 소유자 역할

Apigee 프로비저닝에 사용되는 Google Cloud 프로젝트의 소유자에게는 이미 모든 기본 Apigee 프로비저닝 단계를 수행할 수 있는 권한이 있습니다.

Apigee 프로비저닝 도구가 프로젝트 소유자가 아닌 경우 이 문서를 사용하여 각 프로비저닝 단계를 수행하는 데 필요한 권한을 확인합니다.

공유 Virtual Private Cloud(VPC) 네트워킹을 사용하는 경우 공유 VPC 프로젝트에 추가 권한이 필요하며 이러한 케이스도 이 문서에 설명됩니다.

사전 정의된 역할

Apigee 관리자에게 프로비저닝을 완료할 수 있는 충분한 권한이 있는지 확인하려면 Apigee 관리자에게 다음과 같은 IAM 사전 정의된 역할을 부여합니다. 그러나 사전 정의된 역할은 Apigee 관리자가 프로비저닝을 완료하는 데 필요한 것보다 많은 권한을 부여합니다. 최소 권한을 제공하려면 커스텀 역할 및 권한을 참조하세요.

사전 정의된 역할 지정 방법

사용자 및 역할을 추가하려면 다음 안내를 따르세요.

Google Cloud 콘솔에서 프로젝트의 IAM 및 관리자 > IAM으로 이동합니다.

IAM/Iam 페이지로 이동
새 사용자를 추가하려면 다음 안내를 따르세요.
1. 액세스 권한 부여를 클릭합니다.
2. 새 주 구성원 이름을 입력합니다.
3. 역할 선택 메뉴를 클릭한 후 필터 필드에 역할 이름을 입력합니다. 예를 들면 Apigee Organization Admin입니다. 결과에 나열된 역할을 클릭합니다.
4. 저장을 클릭합니다.
기존 사용자를 수정하는 방법은 다음과 같습니다.
1. 수정을 클릭합니다.
2. 기존 역할을 변경하려면 역할 메뉴를 클릭한 다음 다른 역할을 선택합니다.
3. 다른 역할을 추가하려면 다른 역할 추가를 클릭합니다.
4. 역할 선택 메뉴를 클릭한 후 필터 필드에 역할 이름을 입력합니다. 예를 들면 Apigee Organization Admin입니다. 결과에 나열된 역할을 클릭합니다.
5. 저장을 클릭합니다.

역할	단계에서 필요 사항	계정 유형	목적
Apigee 조직 관리자 `apigee.admin`	Apigee 프로비저닝 시작 조직 만들기 환경 만들기 Apigee 인스턴스 만들기	유료 및 평가	모든 Apigee 리소스 기능에 대한 전체 액세스 권한을 부여합니다.
서비스 사용량 관리자 `serviceusage.serviceUsageAdmin`	API 사용 설정	유료 및 평가	서비스 상태를 사용 설정, 중지, 검사하고 작업을 검사하고 소비자 프로젝트의 할당량과 결제를 사용할 수 있습니다.
Cloud KMS 관리자 `cloudkms.admin`	조직 만들기 런타임 인스턴스 구성	유료만 해당	Cloud KMS 키 및 키링을 만듭니다.
Compute 관리자 `compute.admin`	조직 만들기 런타임 인스턴스 구성 서비스 네트워킹 구성 액세스 라우팅 구성(외부 HTTPS 부하 분산기 만들기)	유료 및 평가	Compute 리전 나열, 서비스 네트워킹 설정, 외부 HTTPS 부하 분산기 만들기

커스텀 역할 및 권한

필요한 최소 권한을 제공하려면 IAM 커스텀 역할을 만들고 다음 섹션에서 권한을 할당합니다.

커스텀 역할 지정 방법

커스텀 역할을 추가하려면 다음 안내를 따르세요.

Google Cloud 콘솔에서 프로젝트의 IAM 및 관리자 > 역할로 이동합니다.

IAM 및 관리자/역할 페이지로 이동
새 역할을 추가하려면 다음 안내를 따르세요.
1. 역할 만들기를 클릭합니다.
2. 새 제목을 입력합니다.
3. 설명을 입력합니다(선택사항).
4. ID를 입력합니다.
5. 역할 실행 단계를 선택합니다.
6. 권한 추가를 클릭합니다.
7. 아래 표에서 원하는 권한 텍스트를 복사하여 필터 필드에 붙여넣습니다. 예를 들면 apigee.environments.create입니다.
8. Enter를 누르거나 결과에서 항목을 클릭합니다.
9. 방금 추가한 항목의 체크박스를 선택합니다.
10. 추가를 클릭합니다.
  참고: 한 번에 권한 여러 개를 추가하려면 다음 안내를 따르세요.
  - 각 권한을 추가할 때 권한 사이에 OR 연산자를 선택하거나
  - 부분 권한 문자열(예: apigee.environments)을 검색하고 체크박스 여러 개를 선택한 후 저장을 클릭합니다.
11. 이 역할의 권한을 모두 추가한 후 만들기를 클릭합니다.
기존 커스텀 역할을 수정하려면 다음 안내를 따르세요.
1. 커스텀 역할을 찾습니다.
2. 더보기 > 수정을 클릭합니다.
3. 원하는 부분을 수정합니다.
4. 업데이트를 클릭합니다.

UI 기반 Apigee 관리 권한

Cloud 콘솔의 Apigee UI를 통해 조직을 관리할 모든 사용자에게 이 권한이 필요합니다. 해당 인터페이스를 통한 관리와 관련된 커스텀 역할에 포함합니다.

역할	계정 유형	목적
`apigee.projectorganizations.get`	유료 및 평가	Cloud 콘솔의 Apigee UI를 통해 모든 작업을 수행합니다.

프로비저닝 권한

Apigee 프로비저닝을 시작하려면 다음 권한이 필요합니다.

역할	계정 유형	목적
`apigee.entitlements.get` `apigee.environments.create` `apigee.environments.get` `apigee.environments.list` `apigee.envgroups.create` `apigee.envgroups.get` `apigee.envgroups.list` `apigee.envgroups.update` `apigee.envgroupattachments.create` `apigee.envgroupattachments.list` `apigee.instances.create` `apigee.instances.get` `apigee.instances.list` `apigee.instanceattachments.create` `apigee.instanceattachments.get` `apigee.instanceattachments.list` `apigee.operations.get` `apigee.operations.list` `apigee.organizations.create` `apigee.organizations.get` `apigee.organizations.update` `apigee.projectorganizations.get` `apigee.projects.update` `apigee.setupcontexts.get` `apigee.setupcontexts.update`	유료 및 평가	Apigee 프로비저닝 시작 조직 만들기 환경 만들기 Apigee 인스턴스 만들기

API 사용 설정 권한

Google Cloud API를 사용 설정하려면 다음 권한이 필요합니다.

역할	계정 유형	목적
`serviceusage.services.get` `serviceusage.services.enable`	유료 및 평가	Google Cloud API 사용 설정

조직 만들기 권한(유료 조직)

유료 계정(구독 또는 사용한 만큼만 지불)의 Apigee 조직을 만들려면 다음 권한이 필요합니다.

권한	계정 유형	목적
`compute.regions.list`	유료만 해당	분석 호스팅 위치 선택
`cloudkms.cryptoKeys.list` `cloudkms.locations.list` `cloudkms.keyRings.list`	유료만 해당	런타임 데이터베이스 암호화 키 선택
`cloudkms.cryptoKeys.create` `cloudkms.keyRings.create`	유료만 해당	런타임 데이터베이스 암호화 키 만들기
`cloudkms.cryptoKeys.getIamPolicy` `cloudkms.cryptoKeys.setIamPolicy`	유료만 해당	Apigee 서비스 계정에 암호화 키 사용 권한 부여

조직 생성 권한(평가 조직)

평가 조직의 분석 및 런타임 호스팅 리전을 선택하려면 다음 권한이 필요합니다.

권한	계정 유형	목적
`compute.regions.list`	평가 조직만 해당	분석 및 런타임 호스팅 리전 선택

서비스 네트워킹 권한

이러한 권한은 서비스 네트워킹 구성 단계에 필요합니다. 공유 VPC 네트워킹을 사용하는 경우 공유 VPC를 사용한 서비스 네트워킹 권한을 참조하세요.

권한	계정 유형	목적
`compute.globalAddresses.createInternal` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalAddresses.use` `compute.networks.get` `compute.networks.list` `compute.networks.use` `compute.projects.get` `servicenetworking.operations.get` `servicenetworking.services.addPeering` `servicenetworking.services.get`	유료 및 평가	이 권한은 서비스 네트워킹 구성 단계에서 태스크를 수행하는 데 필요합니다. 참고: 공유 Virtual Private Cloud(VPC) 네트워킹을 사용하는 경우 공유 VPC를 사용한 서비스 네트워킹 권한을 참조하세요.

공유 VPC를 사용한 서비스 네트워킹 권한

공유 Virtual Private Cloud(VPC) 네트워킹을 사용하는 경우 공유 VPC 프로젝트의 관리자 권한이 있는 사용자는 공유 VPC 네트워크 사용의 설명대로 공유 VPC 프로젝트를 Apigee와 피어링해야 합니다 Apigee 관리자가 서비스 네트워킹 단계를 완료하려면 먼저 피어링을 완료해야 합니다. 관리자 및 IAM도 참조하세요.

공유 VPC가 올바르게 설정된 경우 Apigee 관리자가 서비스 네트워킹 구성 단계를 완료하려면 다음 권한이 필요합니다.

권한	계정 유형	목적
`compute.projects.get`	유료 및 평가	Apigee 관리자는 Apigee가 설치된 프로젝트의 이 권한을 보유해야 합니다. 이 권한을 통해 관리자가 공유 VPC 호스트 프로젝트 ID를 볼 수 있습니다.
Compute 네트워크 사용자 역할 (`compute.networkUser`)	유료 및 평가	Apigee 관리자는 공유 VPC 호스트 프로젝트의 이 역할을 부여받아야 합니다. 이 역할을 통해 관리자가 Apigee 프로비저닝 UI에서 공유 VPC 네트워크를 보고 선택할 수 있습니다.

런타임 인스턴스 권한

런타임 인스턴스를 만들려면 다음 권한이 필요합니다(구독 및 사용한 만큼만 지불 계정만 해당).

권한	계정 유형	목적
`compute.regions.list`	유료만 해당	런타임 호스팅 위치 선택
`cloudkms.cryptoKeys.list` `cloudkms.locations.list` `cloudkms.keyRings.list`	유료만 해당	런타임 디스크 암호화 키 선택
`cloudkms.cryptoKeys.create` `cloudkms.keyRings.create`	유료만 해당	런타임 디스크 암호화 키 만들기
`cloudkms.cryptoKeys.getIamPolicy` `cloudkms.cryptoKeys.setIamPolicy`	유료만 해당	Apigee 서비스 계정에 암호화 키 사용 권한 부여

액세스 라우팅 권한

액세스 라우팅 단계에는 다음 권한이 필요합니다.

권한	계정 유형	목적
`compute.autoscalers.create` `compute.backendServices.create` `compute.backendServices.use` `compute.disks.create` `compute.globalAddresses.create` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalAddresses.use` `compute.globalForwardingRules.create` `compute.globalOperations.get` `compute.firewalls.create` `compute.firewalls.get` `compute.healthChecks.create` `compute.healthChecks.useReadOnly` `compute.images.get` `compute.images.useReadOnly` `compute.instances.create` `compute.instances.setMetadata` `compute.instanceGroups.use` `compute.instanceGroupManagers.create` `compute.instanceGroupManagers.use` `compute.instanceTemplates.get` `compute.instanceTemplates.create` `compute.instanceTemplates.useReadOnly` `compute.networks.get` `compute.networks.list` `compute.networks.updatePolicy` `compute.networks.use` `compute.regionOperations.get` `compute.regionNetworkEndpointGroups.create` `compute.regionNetworkEndpointGroups.delete` `compute.regionNetworkEndpointGroups.use` `compute.sslCertificates.create` `compute.sslCertificates.get` `compute.subnetworks.get` `compute.subnetworks.list` `compute.subnetworks.setPrivateIpGoogleAccess` `compute.subnetworks.use` `compute.targetHttpsProxies.create` `compute.targetHttpsProxies.use` `compute.urlMaps.create` `compute.urlMaps.use`	유료 및 평가	기본 액세스 라우팅 구성 참고: 공유 Virtual Private Cloud(VPC) 네트워킹을 사용하는 경우 공유 VPC를 사용하여 액세스 라우팅 권한을 참조하세요.

공유 VPC를 사용한 액세스 권한 라우팅

공유 Virtual Private Cloud(VPC) 네트워킹을 사용하는 경우 액세스 라우팅 단계를 수행하기 전에 공유 VPC 구성 및 피어링을 완료해야 합니다.

공유 VPC가 올바르게 설정되면 Apigee 관리자가 액세스 라우팅 단계를 완료하려면 공유 VPC 프로젝트의 compute.networkUser 역할이 있어야 합니다. 공유 VPC의 필수 관리 역할도 참조하세요.