Questa pagina si applica a Apigee, ma non a Apigee ibrido.
Visualizza
documentazione di Apigee Edge.
Questo documento descrive le Autorizzazioni Google Cloud IAM necessarie per il provisioning corretto Apigee.
Puoi specificare le autorizzazioni nei seguenti modi:
- Ruoli predefiniti: Fornisci autorizzazioni sufficienti per eseguire la procedura di provisioning. I ruoli predefiniti possono concedere all'amministratore Apigee più autorizzazioni di cui hanno bisogno per completare il provisioning.
- Ruoli personalizzati: Fornisci i privilegi meno necessari per eseguire i passaggi di provisioning.
Ruolo di proprietario del progetto Google Cloud
Il proprietario del progetto Google Cloud utilizzato per il provisioning di Apigee dispone già dell'autorizzazione per eseguire tutti i passaggi di base del provisioning di Apigee.
Se il provisioner Apigee non è il proprietario del progetto, utilizza questo documento per determinare le autorizzazioni necessarie per eseguire ogni passaggio del provisioning.
Se utilizzi il networking VPC (Virtual Private Cloud) condiviso, autorizzazioni nel progetto VPC condiviso e anche questi casi indicati in questo documento.
Ruoli predefiniti
Se vuoi solo assicurarti che l'amministratore di Apigee disponga di una quantità sufficiente per completare il provisioning, concedi all'amministratore Apigee seguenti ruoli predefiniti IAM; tuttavia, i ruoli predefiniti possono concedere all'amministratore Apigee maggiori autorizzazioni di quello di cui hanno bisogno per completare il provisioning. Vedi Autorizzazioni e ruoli personalizzati per fornire i privilegi meno necessari.
Come specificare un ruolo predefinito
Per aggiungere utenti e ruoli:
Nella console Google Cloud, vai a IAM e Amministratore > IAM per progetto.
- Per aggiungere un nuovo utente:
- Fai clic su Concedi accesso.
- Digita un nuovo nome Entità.
- Fai clic sul menu Seleziona un ruolo e digita il ruolo.
nel campo Filtro. Ad esempio:
Apigee Organization Admin
. Fai clic sul ruolo elencato in i risultati. - Fai clic su Salva.
- Per modificare un utente esistente:
- Fai clic su Modifica.
- Per modificare un ruolo esistente, fai clic sul menu Ruolo e poi seleziona un altro ruolo.
- Per aggiungere un altro ruolo, fai clic su Aggiungi un altro ruolo.
- Fai clic sul menu Seleziona un ruolo e digita il ruolo.
nel campo Filtro. Ad esempio:
Apigee Organization Admin
. Fai clic sul ruolo elencato in i risultati. - Fai clic su Salva.
Ruolo | Obbligatorio per i passaggi | Tipo di account | Finalità |
---|---|---|---|
Amministratore organizzazione Apigeeapigee.admin |
|
A pagamento e valutazione | Concede l'accesso completo a tutte le funzionalità delle risorse Apigee. |
Amministratore Service Usageserviceusage.serviceUsageAdmin |
|
A pagamento e valutazione | Possibilità di abilitare, disabilitare e ispezionare gli stati dei servizi, ispezionare e utilizzare quota e fatturazione per un progetto consumer. |
Amministratore Cloud KMScloudkms.admin |
|
Solo a pagamento | Creazione di chiavi e keyring di Cloud KMS. |
Amministratore rete Computecompute.networkAdmin |
|
A pagamento e valutazione | Elenco delle regioni di computing, configurazione del networking di servizi creando il bilanciatore del carico HTTPS esterno. |
Autorizzazioni e ruoli personalizzati
Per fornire i privilegi meno necessari, crea un ruolo IAM personalizzato e assegna le autorizzazioni delle sezioni seguenti.
Come specificare un ruolo personalizzato
Per aggiungere un ruolo personalizzato:
Nella console Google Cloud, vai a IAM e Amministratore > Ruoli per progetto.
- Per aggiungere un nuovo ruolo:
- Fai clic su Crea ruolo.
- Digita un nuovo Titolo.
- (Facoltativo) Digita una descrizione.
- Digita un ID.
- Seleziona una Fase di lancio del ruolo.
- Fai clic su Aggiungi autorizzazioni.
- Copia il testo delle autorizzazioni che ti interessa dalle tabelle seguenti e
incollalo nel campo Filtro. Ad esempio:
apigee.environments.create
. - Premi Invio o fai clic su un elemento nei risultati.
- Seleziona la casella di controllo dell'elemento appena aggiunto.
- Fai clic su Aggiungi.
- Dopo aver aggiunto tutte le autorizzazioni per questo ruolo, fai clic su Crea.
- Per modificare un ruolo personalizzato esistente:
- Individua il ruolo personalizzato.
- Fai clic su Altro > Modifica:
- Apporta le modifiche desiderate.
- Fai clic su Aggiorna.
Autorizzazioni per la gestione Apigee basata su UI
Questa autorizzazione è obbligatoria per tutti gli utenti che gestiranno un'organizzazione tramite UI di Apigee nella console Cloud. Includilo in ruoli personalizzati che prevedono la gestione attraverso questa interfaccia.
Ruolo | Tipo di account | Finalità |
---|---|---|
apigee.projectorganizations.get |
A pagamento e valutazione |
|
Autorizzazioni di provisioning
Queste autorizzazioni sono necessarie per avviare il provisioning Apigee:
Ruolo | Tipo di account | Finalità |
---|---|---|
apigee.entitlements.get apigee.environments.create apigee.environments.get apigee.environments.list apigee.envgroups.create apigee.envgroups.get apigee.envgroups.list apigee.envgroups.update apigee.envgroupattachments.create apigee.envgroupattachments.list apigee.instances.create apigee.instances.get apigee.instances.list apigee.instanceattachments.create apigee.instanceattachments.get apigee.instanceattachments.list apigee.operations.get apigee.operations.list apigee.organizations.create apigee.organizations.get apigee.organizations.update apigee.projectorganizations.get apigee.projects.update apigee.setupcontexts.get apigee.setupcontexts.update
|
A pagamento e valutazione |
|
Autorizzazioni di abilitazione API
Queste autorizzazioni sono necessarie per abilitare le API Google Cloud:
Ruolo | Tipo di account | Finalità |
---|---|---|
serviceusage.services.get serviceusage.services.enable |
A pagamento e valutazione | Abilitazione delle API Google Cloud in corso... |
Autorizzazioni di creazione dell'organizzazione (organizzazione a pagamento)
Queste autorizzazioni sono necessarie per creare un'organizzazione Apigee account a pagamento (abbonamento o pagamento a consumo):
Autorizzazioni | Tipo di account | Finalità |
---|---|---|
compute.regions.list |
Solo a pagamento | Selezionare una località di hosting per l'analisi |
cloudkms.cryptoKeys.list cloudkms.locations.list cloudkms.keyRings.list
|
Solo a pagamento | Selezione di una chiave di crittografia del database di runtime |
cloudkms.cryptoKeys.create cloudkms.keyRings.create |
Solo a pagamento | Creazione di una chiave di crittografia del database del runtime |
cloudkms.cryptoKeys.getIamPolicy cloudkms.cryptoKeys.setIamPolicy |
Solo a pagamento | Concessione all'account di servizio Apigee dell'autorizzazione a utilizzare una chiave di crittografia |
Autorizzazioni di creazione organizzazione (eval org)
Questa autorizzazione è richiesta per selezionare l'analisi e l'hosting del runtime regioni per un'organizzazione di valutazione:
Autorizzazioni | Tipo di account | Finalità |
---|---|---|
compute.regions.list |
Solo organizzazioni di valutazione | Selezione delle regioni di hosting di analisi e runtime |
Autorizzazioni networking di servizi
Queste autorizzazioni sono necessarie nei passaggi di configurazione della rete di servizi. Se utilizzi il networking VPC condiviso, consulta Autorizzazioni della rete di servizi con VPC condiviso.
Autorizzazioni | Tipo di account | Finalità |
---|---|---|
compute.globalAddresses.createInternal compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.networks.get
compute.networks.list
compute.networks.use
compute.projects.get
servicenetworking.operations.get
servicenetworking.services.addPeering
servicenetworking.services.get
|
A pagamento e valutazione | Queste autorizzazioni sono necessarie per eseguire le attività nel servizio per la configurazione della rete. |
Autorizzazioni delle reti di servizi con VPC condiviso
Se utilizzi il networking VPC (Virtual Private Cloud) condiviso, un utente con i privilegi amministrativi nel progetto del VPC condiviso devono essere in peering del VPC condiviso progetto con Apigee, come descritto Utilizzo di reti VPC condivise. Il peering deve essere completato prima che Apigee un amministratore può completare i passaggi del networking di servizi. Vedi anche Amministratori e IAM.
Quando il VPC condiviso è configurato correttamente, l'amministratore Apigee ha bisogno di queste autorizzazioni per completare i passaggi di configurazione della rete di servizi:
Autorizzazioni | Tipo di account | Finalità |
---|---|---|
compute.projects.get
|
A pagamento e valutazione | L'amministratore di Apigee deve avere questa autorizzazione nel progetto in cui è installato Apigee. Questa autorizzazione consente all'amministratore di visualizzare l'ID progetto host del VPC condiviso. |
Ruolo Utente di rete Compute ( compute.networkUser ) |
A pagamento e valutazione | All'amministratore Apigee deve essere concesso questo ruolo nel progetto host del VPC condiviso. Questo ruolo consente all'amministratore di visualizzare e selezionare la rete VPC condiviso nella UI di provisioning di Apigee. |
Autorizzazioni dell'istanza di runtime
Queste autorizzazioni sono necessarie per creare un'istanza di runtime (solo account in abbonamento e con pagamento a consumo):
Autorizzazioni | Tipo di account | Finalità |
---|---|---|
compute.regions.list |
Solo a pagamento | Selezione di una località di hosting del runtime |
cloudkms.cryptoKeys.list cloudkms.locations.list cloudkms.keyRings.list
|
Solo a pagamento | Selezione di una chiave di crittografia del disco di runtime |
cloudkms.cryptoKeys.create cloudkms.keyRings.create |
Solo a pagamento | Creazione di una chiave di crittografia del disco di runtime |
cloudkms.cryptoKeys.getIamPolicy cloudkms.cryptoKeys.setIamPolicy |
Solo a pagamento | Concessione all'account di servizio Apigee dell'autorizzazione a utilizzare una chiave di crittografia |
Autorizzazioni di routing dell'accesso
Queste autorizzazioni sono necessarie per i passaggi di routing degli accessi:
Autorizzazioni | Tipo di account | Finalità |
---|---|---|
compute.autoscalers.create compute.backendServices.create compute.backendServices.use compute.disks.create compute.globalAddresses.create compute.globalAddresses.get compute.globalAddresses.list compute.globalAddresses.use compute.globalForwardingRules.create compute.globalOperations.get compute.firewalls.create compute.firewalls.get compute.healthChecks.create compute.healthChecks.useReadOnly compute.images.get compute.images.useReadOnly compute.instances.create compute.instances.setMetadata compute.instanceGroups.use compute.instanceGroupManagers.create compute.instanceGroupManagers.use compute.instanceTemplates.get compute.instanceTemplates.create compute.instanceTemplates.useReadOnly compute.networks.get compute.networks.list compute.networks.updatePolicy compute.networks.use compute.regionOperations.get compute.regionNetworkEndpointGroups.create compute.regionNetworkEndpointGroups.use compute.sslCertificates.create compute.sslCertificates.get compute.subnetworks.get compute.subnetworks.list compute.subnetworks.setPrivateIpGoogleAccess compute.subnetworks.use compute.targetHttpsProxies.create compute.targetHttpsProxies.use compute.urlMaps.create compute.urlMaps.use
|
A pagamento e valutazione | Configurazione del routing degli accessi di base |
Autorizzazioni di routing degli accessi con il VPC condiviso
Se utilizzi Networking Virtual Private Cloud (VPC) condiviso, tieni presente che lo strumento La configurazione e il peering VPC devono essere completati prima di poter eseguire di routing dell'accesso.
Dopo che il VPC condiviso è stato configurato correttamente, l'amministratore di Apigee richiede
Ruolo compute.networkUser
nel progetto del VPC condiviso
per completare la procedura di routing dell'accesso. Vedi anche
Ruoli amministrativi richiesti per il VPC condiviso.