本页面适用于 Apigee,但不适用于 Apigee Hybrid。
查看 Apigee Edge 文档。
本文档介绍了成功预配 Apigee 所需的 Google Cloud IAM 权限。
您可以使用以下方式指定权限:
Google Cloud 项目所有者角色
用于 Apigee 预配的 Google Cloud 项目的所有者有权执行所有基本 Apigee 预配步骤。
如果 Apigee 预配者不是项目所有者,请使用本文档确定执行每个预配步骤所需的权限。
如果您使用共享 Virtual Private Cloud (VPC) 网络,则还需要拥有共享 VPC 项目中的其他权限,本文档中也对此进行了介绍。
预定义角色
如果您只想确保 Apigee 管理员具有足够的权限来完成预配,请为 Apigee 管理员提供以下 IAM 预定义角色;但是,预定义角色可能会为 Apigee 管理员提供超出完成预配所需的权限。请参阅自定义角色和权限以提供所需的最小权限。
如何指定预定义角色
如需添加用户和角色,请执行以下操作:
在 Google Cloud 控制台中,进入您的项目的 IAM 和管理 > IAM。
- 如需添加新用户,请执行以下操作:
- 点击授予使用权限。
- 输入新的主账号名称。
- 点击选择角色菜单,然后在过滤条件字段中输入角色名称。例如
Apigee Organization Admin
。点击结果中列出的角色。 - 点击保存。
- 如需修改现有用户,请执行以下操作:
- 点击 修改。
- 如需更改现有角色,请点击角色菜单,然后选择其他角色。
- 如需添加其他角色,请点击添加其他角色。
- 点击选择角色菜单,然后在过滤条件字段中输入角色名称。例如
Apigee Organization Admin
。点击结果中列出的角色。 - 点击保存。
角色 | 适用的步骤 | 账号类型 | 用途 |
---|---|---|---|
Apigee Organization Adminapigee.admin |
|
付费版和评估版 | 授予对所有 Apigee 资源功能的完全访问权限。 |
Service Usage Adminserviceusage.serviceUsageAdmin |
|
付费版和评估版 | 能够启用、停用和检查使用方项目的服务状态和操作,以及使用该项目的配额和结算服务。 |
Cloud KMS Admincloudkms.admin |
|
仅付费 | 创建 Cloud KMS 密钥和密钥环。 |
Compute Network Admincompute.networkAdmin |
|
付费版和评估版 | 列出计算区域,设置服务网络以及创建外部 HTTPS 负载均衡器。 |
自定义角色和权限
如需提供所需的最小权限,请在以下部分中创建 IAM 自定义角色并分配权限。
如何指定自定义角色
如需添加自定义角色,请执行以下操作:
在 Google Cloud 控制台中,进入您的项目的 IAM 和管理 > 角色。
- 如需添加新角色,请执行以下操作:
- 点击 Create role。
- 输入新标题。
- 输入说明(可选)。
- 输入 ID。
- 选择角色发布阶段。
- 点击添加权限。
- 从下表中复制所需的权限文本,并将其粘贴到过滤条件字段中。例如:
apigee.environments.create
。 - 按 Enter,或点击搜索结果中的某个项。
- 选中您刚刚添加的项对应的复选框。
- 点击添加。
- 添加完此角色的所有权限后,请点击创建。
- 如需修改现有自定义角色,请执行以下操作:
- 找到自定义角色。
- 点击 更多 > 修改。
- 进行任何所需的更改。
- 点击更新。
基于界面的 Apigee 管理权限
通过 Cloud 控制台中的 Apigee 界面管理组织的所有用户都需要此权限。请将其包含在涉及通过该界面进行管理的自定义角色中。
角色 | 账号类型 | 用途 |
---|---|---|
apigee.projectorganizations.get |
付费版和评估版 |
|
预配权限
开始预配 Apigee 需要以下权限:
角色 | 账号类型 | 用途 |
---|---|---|
apigee.entitlements.get apigee.environments.create apigee.environments.get apigee.environments.list apigee.envgroups.create apigee.envgroups.get apigee.envgroups.list apigee.envgroups.update apigee.envgroupattachments.create apigee.envgroupattachments.list apigee.instances.create apigee.instances.get apigee.instances.list apigee.instanceattachments.create apigee.instanceattachments.get apigee.instanceattachments.list apigee.operations.get apigee.operations.list apigee.organizations.create apigee.organizations.get apigee.organizations.update apigee.projectorganizations.get apigee.projects.update apigee.setupcontexts.get apigee.setupcontexts.update
|
付费版和评估版 |
|
API 启用权限
启用 Google Cloud API 需要以下权限:
角色 | 账号类型 | 用途 |
---|---|---|
serviceusage.services.get serviceusage.services.enable |
付费版和评估版 | 启用 Google Cloud API |
组织创建权限(付费组织)
为付费账号(订阅或随用随付)创建 Apigee 组织需要以下权限:
权限 | 账号类型 | 用途 |
---|---|---|
compute.regions.list |
仅付费 | 选择分析托管位置 |
cloudkms.cryptoKeys.list cloudkms.locations.list cloudkms.keyRings.list
|
仅付费 | 选择运行时数据库加密密钥 |
cloudkms.cryptoKeys.create cloudkms.keyRings.create |
仅付费 | 创建运行时数据库加密密钥 |
cloudkms.cryptoKeys.getIamPolicy cloudkms.cryptoKeys.setIamPolicy |
仅付费 | 为 Apigee 服务账号授予使用加密密钥的权限 |
组织创建权限(评估组织)
为评估组织选择分析和运行时托管区域需要以下权限:
权限 | 账号类型 | 用途 |
---|---|---|
compute.regions.list |
仅评估组织 | 选择分析和运行时托管区域 |
服务网络权限
服务网络配置步骤需要以下权限。 如果您使用的是共享 VPC 网络,请参阅使用共享 VPC 的服务网络权限。
权限 | 账号类型 | 用途 |
---|---|---|
compute.globalAddresses.createInternal compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.networks.get
compute.networks.list
compute.networks.use
compute.projects.get
servicenetworking.operations.get
servicenetworking.services.addPeering
servicenetworking.services.get
|
付费版和评估版 | 在服务网络配置步骤中执行任务需要这些权限。 |
使用共享 VPC 的服务网络权限
如果您使用的是共享 Virtual Private Cloud (VPC) 网络,则具有共享 VPC 项目中的管理权限的用户必须将共享 VPC 项目与 Apigee 对等互连,如使用共享 VPC 网络中所述。必须先完成对等互连,然后 Apigee 管理员才能完成服务网络步骤。另请参阅管理员和 IAM。
正确设置共享 VPC 后,Apigee 管理员需要拥有以下权限才能完成服务网络配置步骤:
权限 | 账号类型 | 用途 |
---|---|---|
compute.projects.get
|
付费版和评估版 | Apigee 管理员必须在安装了 Apigee 的项目中拥有此权限。 此权限允许管理员查看共享 VPC 宿主项目 ID。 |
Compute Network User 角色 ( compute.networkUser ) |
付费版和评估版 | 必须在共享 VPC 宿主项目中向 Apigee 管理员授予此角色。 此角色允许管理员在 Apigee 预配界面中查看和选择共享 VPC 网络。 |
运行时实例权限
创建运行时实例需要以下权限(仅限订阅和随用随付账号):
权限 | 账号类型 | 用途 |
---|---|---|
compute.regions.list |
仅付费 | 选择运行时托管位置 |
cloudkms.cryptoKeys.list cloudkms.locations.list cloudkms.keyRings.list
|
仅付费 | 选择运行时磁盘加密密钥 |
cloudkms.cryptoKeys.create cloudkms.keyRings.create |
仅付费 | 创建运行时磁盘加密密钥 |
cloudkms.cryptoKeys.getIamPolicy cloudkms.cryptoKeys.setIamPolicy |
仅付费 | 为 Apigee 服务账号授予使用加密密钥的权限 |
访问路由权限
访问路由步骤需要以下权限:
权限 | 账号类型 | 用途 |
---|---|---|
compute.autoscalers.create compute.backendServices.create compute.backendServices.use compute.disks.create compute.globalAddresses.create compute.globalAddresses.get compute.globalAddresses.list compute.globalAddresses.use compute.globalForwardingRules.create compute.globalOperations.get compute.firewalls.create compute.firewalls.get compute.healthChecks.create compute.healthChecks.useReadOnly compute.images.get compute.images.useReadOnly compute.instances.create compute.instances.setMetadata compute.instanceGroups.use compute.instanceGroupManagers.create compute.instanceGroupManagers.use compute.instanceTemplates.get compute.instanceTemplates.create compute.instanceTemplates.useReadOnly compute.networks.get compute.networks.list compute.networks.updatePolicy compute.networks.use compute.regionOperations.get compute.regionNetworkEndpointGroups.create compute.regionNetworkEndpointGroups.use compute.sslCertificates.create compute.sslCertificates.get compute.subnetworks.get compute.subnetworks.list compute.subnetworks.setPrivateIpGoogleAccess compute.subnetworks.use compute.targetHttpsProxies.create compute.targetHttpsProxies.use compute.urlMaps.create compute.urlMaps.use
|
付费版和评估版 | 配置基本访问路由 |
使用共享 VPC 的访问路由权限
如果您使用的是共享 Virtual Private Cloud (VPC) 网络,请注意您必须先完成共享 VPC 配置和对等互连,然后才能执行访问路由步骤。
正确设置共享 VPC 后,Apigee 管理员需要具有共享 VPC 项目中的 compute.networkUser
角色才能完成访问路由步骤。另请参阅共享 VPC 所需的管理角色。