Esta página se aplica a Apigee, pero no a Apigee Hybrid.
Consulta la documentación de
Apigee Edge.
En este documento se describen los permisos de gestión de identidades y accesos de Google Cloud que se necesitan para aprovisionar Apigee correctamente.
Puedes especificar permisos de las siguientes formas:
- Roles predefinidos: Proporcionan permisos suficientes para llevar a cabo los pasos de aprovisionamiento. Los roles predefinidos pueden dar al administrador de Apigee más permisos de los que necesita para completar el aprovisionamiento.
- Roles personalizados: Proporcionan los privilegios mínimos necesarios para completar los pasos de aprovisionamiento.
Rol de propietario del proyecto de Google Cloud
El propietario del proyecto de Google Cloud que se usa para el aprovisionamiento de Apigee ya tiene permiso para llevar a cabo todos los pasos básicos de aprovisionamiento de Apigee.
Si el aprovisionador de Apigee no es el propietario del proyecto, consulta este documento para determinar los permisos necesarios para llevar a cabo cada uno de los pasos de aprovisionamiento.
Si utilizas redes de VPC compartida, se necesitan permisos adicionales en el proyecto de VPC compartida. Estos casos también se indican en este documento.
Funciones predefinidas
Si solo quieres asegurarte de que el administrador de Apigee tiene permisos suficientes para completar el aprovisionamiento, asígnale los siguientes roles predefinidos de gestión de identidades y accesos. Sin embargo, es posible que los roles predefinidos le concedan al administrador de Apigee más permisos de los que necesita para completar el aprovisionamiento. Consulta Roles y permisos personalizados para proporcionar los privilegios mínimos necesarios.
Cómo especificar un rol predefinido
Para añadir usuarios y roles, sigue estos pasos:
En la Google Cloud consola, ve a IAM y administración > IAM de tu proyecto.
- Para añadir un usuario nuevo, sigue estos pasos:
- Haz clic en Conceder acceso.
- Escribe un nuevo nombre de Principal.
- Haz clic en el menú Seleccionar un rol y, a continuación, escribe el nombre del rol en el campo Filtrar. Por ejemplo,
Apigee Organization Admin. Haz clic en el rol que aparece en los resultados. - Haz clic en Guardar.
- Para editar un usuario, sigue estos pasos:
- Haz clic en Editar.
- Para cambiar un rol, haz clic en el menú Rol y selecciona otro.
- Para añadir otro rol, haz clic en Añadir otro rol.
- Haz clic en el menú Seleccionar un rol y, a continuación, escribe el nombre del rol en el campo Filtrar. Por ejemplo,
Apigee Organization Admin. Haz clic en el rol que aparece en los resultados. - Haz clic en Guardar.
| Rol | Obligatorio para los pasos | Tipo de cuenta | Finalidad |
|---|---|---|---|
Administrador de organización de Apigeeapigee.admin |
|
De pago y de evaluación | Concede acceso completo a todas las funciones de los recursos de Apigee. |
Administrador de Uso de Servicioserviceusage.serviceUsageAdmin |
|
De pago y de evaluación | Permiso para habilitar, inhabilitar e inspeccionar estados de servicio, además de inspeccionar operaciones y consumir cuotas y facturación en un proyecto de consumidor. |
Administrador de Cloud KMScloudkms.admin |
|
Solo de pago | Crear claves y conjuntos de claves de Cloud KMS. |
Administrador de Computecompute.admin |
|
De pago y de evaluación | Listar las regiones de Compute, configurar la red de servicios y crear el balanceador de carga HTTPS externo. |
Roles y permisos personalizados
Para proporcionar los privilegios mínimos necesarios, crea un rol personalizado de gestión de identidades y accesos y asigna permisos de las siguientes secciones.
Cómo especificar un rol personalizado
Para añadir un rol personalizado, sigue estos pasos:
En la Google Cloud consola, ve a IAM y administración > Roles de tu proyecto.
- Para añadir un nuevo rol, sigue estos pasos:
- Haz clic en Crear rol.
- Escribe un Título nuevo.
- Escribe una descripción (opcional).
- Escribe un ID.
- Selecciona una fase de lanzamiento del rol.
- Haz clic en Añadir permisos.
- Copie el texto del permiso que quiera de las tablas de abajo y péguelo en el campo Filtro. Por ejemplo,
apigee.environments.create. - Pulsa Intro o haz clic en un elemento de los resultados.
- Seleccione la casilla del elemento que acaba de añadir.
- Haz clic en Añadir.
- Una vez que hayas añadido todos los permisos de este rol, haz clic en Crear.
- Para editar un rol personalizado, sigue estos pasos:
- Busca el rol personalizado.
- Haz clic en Más > Editar.
- Haz los cambios que quieras.
- Haz clic en Actualizar.
Permisos de gestión de Apigee basados en la interfaz de usuario
Este permiso es obligatorio para todos los usuarios que gestionen una organización a través de la interfaz de Apigee en la consola de Cloud. Inclúyalo en los roles personalizados que impliquen gestión a través de esa interfaz.
| Rol | Tipo de cuenta | Finalidad |
|---|---|---|
apigee.projectorganizations.get |
De pago y de evaluación |
|
Permisos de aprovisionamiento
Estos permisos son necesarios para iniciar el aprovisionamiento de Apigee:
| Rol | Tipo de cuenta | Finalidad |
|---|---|---|
apigee.entitlements.getapigee.environments.createapigee.environments.getapigee.environments.listapigee.envgroups.createapigee.envgroups.getapigee.envgroups.listapigee.envgroups.updateapigee.envgroupattachments.createapigee.envgroupattachments.listapigee.instances.createapigee.instances.getapigee.instances.listapigee.instanceattachments.createapigee.instanceattachments.getapigee.instanceattachments.listapigee.operations.getapigee.operations.listapigee.organizations.createapigee.organizations.getapigee.organizations.updateapigee.projectorganizations.getapigee.projects.updateapigee.setupcontexts.getapigee.setupcontexts.update
|
De pago y de evaluación |
|
Permisos de habilitación de APIs
Estos permisos son necesarios para habilitar las APIs de Google Cloud:
| Rol | Tipo de cuenta | Finalidad |
|---|---|---|
serviceusage.services.getserviceusage.services.enable |
De pago y de evaluación | Habilitar APIs de Google Cloud |
Permisos de creación de organizaciones (organización de pago)
Estos permisos son necesarios para crear una organización de Apigee para cuentas de pago (de suscripción o de pago por uso):
| Permisos | Tipo de cuenta | Finalidad |
|---|---|---|
compute.regions.list |
Solo de pago | Seleccionar una ubicación de alojamiento de analíticas |
cloudkms.cryptoKeys.listcloudkms.locations.listcloudkms.keyRings.list
|
Solo de pago | Seleccionar una clave de cifrado de la base de datos de tiempo de ejecución |
cloudkms.cryptoKeys.createcloudkms.keyRings.create |
Solo de pago | Crear una clave de cifrado de la base de datos de tiempo de ejecución |
cloudkms.cryptoKeys.getIamPolicycloudkms.cryptoKeys.setIamPolicy |
Solo de pago | Conceder permiso a la cuenta de servicio de Apigee para usar una clave de cifrado |
Permisos de creación de organizaciones (organización de evaluación)
Este permiso es necesario para seleccionar las regiones de analíticas y de alojamiento del tiempo de ejecución de una organización de evaluación:
| Permisos | Tipo de cuenta | Finalidad |
|---|---|---|
compute.regions.list |
Solo organizaciones de evaluación | Seleccionar regiones de alojamiento de analíticas y de tiempo de ejecución |
Permisos de redes de servicios
Estos permisos son necesarios en los pasos de configuración de la red de servicios. Si usas redes de VPC compartidas, consulta Permisos de redes de servicios con VPC compartida.
| Permisos | Tipo de cuenta | Finalidad |
|---|---|---|
compute.globalAddresses.createInternalcompute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.networks.get
compute.networks.list
compute.networks.use
compute.projects.get
servicenetworking.operations.get
servicenetworking.services.addPeering
servicenetworking.services.get
|
De pago y de evaluación | Estos permisos son necesarios para realizar las tareas del paso de configuración de la red del servicio. |
Permisos de redes de servicios con VPC compartida
Si utilizas redes de nube privada virtual (VPC) compartida, un usuario con privilegios de administrador en el proyecto de VPC compartida debe emparejar el proyecto de VPC compartida con Apigee, tal como se describe en Usar redes de VPC compartidas. El peering debe completarse antes de que el administrador de Apigee pueda completar los pasos de la red de servicios. Consulta también Administradores e IAM.
Cuando la VPC compartida se configura correctamente, el administrador de Apigee necesita estos permisos para completar los pasos de configuración de la red de servicios:
| Permisos | Tipo de cuenta | Finalidad |
|---|---|---|
compute.projects.get
|
De pago y de evaluación | El administrador de Apigee debe tener este permiso en el proyecto en el que esté instalado Apigee. Este permiso permite al administrador ver el ID del proyecto host de la VPC compartida. |
| Rol Usuario de red de Compute ( compute.networkUser) |
De pago y de evaluación | El administrador de Apigee debe tener este rol en el proyecto host de la VPC compartida. Este rol permite al administrador ver y seleccionar la red de VPC compartida en la interfaz de aprovisionamiento de Apigee. |
Permisos de instancia de tiempo de ejecución
Estos permisos son necesarios para crear una instancia de tiempo de ejecución (solo para cuentas de suscripción y de pago por uso):
| Permisos | Tipo de cuenta | Finalidad |
|---|---|---|
compute.regions.list |
Solo de pago | Seleccionar una ubicación de alojamiento del tiempo de ejecución |
cloudkms.cryptoKeys.listcloudkms.locations.listcloudkms.keyRings.list
|
Solo de pago | Seleccionar una clave de encriptado de disco de tiempo de ejecución |
cloudkms.cryptoKeys.createcloudkms.keyRings.create |
Solo de pago | Crear una clave de encriptado de disco en el tiempo de ejecución |
cloudkms.cryptoKeys.getIamPolicycloudkms.cryptoKeys.setIamPolicy |
Solo de pago | Conceder permiso a la cuenta de servicio de Apigee para usar una clave de cifrado |
Permisos de enrutamiento de acceso
Estos permisos son necesarios para los pasos de enrutamiento de acceso:
| Permisos | Tipo de cuenta | Finalidad |
|---|---|---|
compute.autoscalers.createcompute.backendServices.createcompute.backendServices.usecompute.disks.createcompute.globalAddresses.createcompute.globalAddresses.getcompute.globalAddresses.listcompute.globalAddresses.usecompute.globalForwardingRules.createcompute.globalOperations.getcompute.firewalls.createcompute.firewalls.getcompute.healthChecks.createcompute.healthChecks.useReadOnlycompute.images.getcompute.images.useReadOnlycompute.instances.createcompute.instances.setMetadatacompute.instanceGroups.usecompute.instanceGroupManagers.createcompute.instanceGroupManagers.usecompute.instanceTemplates.getcompute.instanceTemplates.createcompute.instanceTemplates.useReadOnlycompute.networks.getcompute.networks.listcompute.networks.updatePolicycompute.networks.usecompute.regionOperations.getcompute.regionNetworkEndpointGroups.createcompute.regionNetworkEndpointGroups.deletecompute.regionNetworkEndpointGroups.usecompute.sslCertificates.createcompute.sslCertificates.getcompute.subnetworks.getcompute.subnetworks.listcompute.subnetworks.setPrivateIpGoogleAccesscompute.subnetworks.usecompute.targetHttpsProxies.createcompute.targetHttpsProxies.usecompute.urlMaps.createcompute.urlMaps.use
|
De pago y de evaluación | Configurar el enrutamiento de acceso básico |
Permisos de enrutamiento de acceso con VPC compartida
Si utilizas la red de nube privada virtual (VPC) compartida, ten en cuenta que la configuración y el emparejamiento de la VPC compartida deben completarse antes de que puedas realizar el paso de enrutamiento de acceso.
Una vez que la VPC compartida se haya configurado correctamente, el administrador de Apigee necesitará el rol
compute.networkUser en el proyecto de VPC compartida
para completar los pasos de enrutamiento del acceso. Consulta también los
roles de administrador necesarios para usar la VPC compartida.