Esta página se aplica a Apigee, pero no a Apigee Hybrid.
Consulta la documentación de
Apigee Edge.
En este documento, se describen los permisos de Google Cloud IAM que se requieren para aprovisionar Apigee de forma correcta.
Puedes especificar permisos mediante las siguientes opciones:
- Roles predefinidos: Proporciona los permisos suficientes para realizar los pasos de aprovisionamiento. Los roles predefinidos pueden darle al administrador de Apigee más permisos de los que necesitan para completar el aprovisionamiento.
- Roles personalizados: Proporciona el privilegio mínimo necesario para realizar los pasos de aprovisionamiento.
Rol de propietario del proyecto de Google Cloud
El propietario del proyecto de Google Cloud que se usa para el aprovisionamiento de Apigee ya tiene permiso para realizar todos los pasos de aprovisionamiento básicos de Apigee.
Si el aprovisionador de Apigee no es el propietario del proyecto, usa este documento a fin de determinar los permisos necesarios para realizar cada uno de los pasos del aprovisionamiento.
Si usas redes de nube privada virtual (VPC) compartida, se requieren permisos adicionales en el proyecto de VPC compartida, y estos casos también se indican en este documento.
Funciones predefinidas
Si solo deseas asegurarte de que el administrador de Apigee tenga suficiente permiso para completar el aprovisionamiento, otórgale los siguientes roles predefinidos de IAM. Sin embargo, los roles predefinidos pueden otorgar al administrador de Apigee más permisos de los que necesita para completar el aprovisionamiento. Consulta la sección Roles y permisos personalizados para proporcionar los privilegios mínimos necesarios.
Cómo especificar un rol predefinido
Para agregar usuarios y roles, haz lo siguiente:
En la consola de Google Cloud, ve a IAM y administración > IAM para tu proyecto.
- Para agregar un usuario nuevo, haz lo siguiente:
- Haz clic en Grant access.
- Escribe un nuevo nombre de Principal.
- Haz clic en el menú Seleccionar un rol y, luego, escribe el nombre del rol en el campo Filtro. Por ejemplo,
Apigee Organization Admin. Haz clic en el rol que aparece en los resultados. - Haz clic en Guardar.
- Para editar un usuario existente, sigue estos pasos:
- Haz clic en Editar.
- Para cambiar un rol existente, haz clic en el menú Rol y, luego, selecciona un rol diferente.
- Para agregar otro rol, haz clic en Agregar otro rol.
- Haz clic en el menú Seleccionar un rol y, luego, escribe el nombre del rol en el campo Filtro. Por ejemplo,
Apigee Organization Admin. Haz clic en el rol que aparece en los resultados. - Haz clic en Guardar.
| Rol | Obligatorio para realizar los pasos | Tipo de cuenta | Objetivo |
|---|---|---|---|
Administrador de la organización de Apigeeapigee.admin |
|
Pagada y evaluación | Concede acceso completo a todas las funciones de los recursos de Apigee |
Administrador de Service Usageserviceusage.serviceUsageAdmin |
|
Pagada y evaluación | Tiene la capacidad de habilitar, inhabilitar e inspeccionar estados de servicio, inspeccionar operaciones, y consumir cuota y facturación para un proyecto de consumo. |
Administrador de Cloud KMScloudkms.admin |
|
Solo pagadas | Crea claves y llaveros de claves de Cloud KMS. |
Administrador de red de Computecompute.networkAdmin |
|
Pagada y evaluación | Enumera las regiones de Compute, configura las herramientas de redes de servicios y crea el balanceador de cargas HTTPS externo. |
Roles y permisos personalizados
Para proporcionar los privilegios mínimos necesarios, crea un rol personalizado de IAM y asigna permisos de las siguientes secciones.
Cómo especificar un rol personalizado
Para agregar un rol personalizado, sigue estos pasos:
En la consola de Google Cloud, ve a IAM y administración > Roles para tu proyecto.
- Para agregar un rol nuevo, haz lo siguiente:
- Haz clic en Crear rol.
- Escribe un Título nuevo.
- Escribe una Descripción (opcional).
- Escribe un ID.
- Selecciona una etapa de lanzamiento del rol.
- Haz clic en Agregar permisos.
- Copia el texto del permiso deseado de las siguientes tablas y pégalo en el campo Filtro. Por ejemplo:
apigee.environments.create - Presiona Intro o haz clic en un elemento de los resultados.
- Selecciona la casilla de verificación del elemento que acabas de agregar.
- Haga clic en Agregar.
- Una vez que hayas agregado todos los permisos para este rol, haz clic en Crear.
- Para editar un rol personalizado existente, sigue estos pasos:
- Ubica el rol personalizado.
- Haz clic en Más > Editar.
- Realiza los cambios que desees.
- Haga clic en Update.
Permisos de administración de Apigee basados en IU
Este permiso es obligatorio para todos los usuarios que administrarán una organización a través de la IU de Apigee en la consola de Cloud. Inclúyela en funciones personalizadas que implican la administración a través de esa interfaz.
| Rol | Tipo de cuenta | Objetivo |
|---|---|---|
apigee.projectorganizations.get |
Pagada y evaluación |
|
Aprovisiona permisos
Se requieren estos permisos para comenzar a aprovisionar Apigee:
| Rol | Tipo de cuenta | Objetivo |
|---|---|---|
apigee.entitlements.getapigee.environments.createapigee.environments.getapigee.environments.listapigee.envgroups.createapigee.envgroups.getapigee.envgroups.listapigee.envgroups.updateapigee.envgroupattachments.createapigee.envgroupattachments.listapigee.instances.createapigee.instances.getapigee.instances.listapigee.instanceattachments.createapigee.instanceattachments.getapigee.instanceattachments.listapigee.operations.getapigee.operations.listapigee.organizations.createapigee.organizations.getapigee.organizations.updateapigee.projectorganizations.getapigee.projects.updateapigee.setupcontexts.getapigee.setupcontexts.update
|
Pagada y evaluación |
|
Permisos de habilitación de API
Estos permisos son necesarios para habilitar las API de Google Cloud:
| Rol | Tipo de cuenta | Objetivo |
|---|---|---|
serviceusage.services.getserviceusage.services.enable |
Pagada y evaluación | Habilita las API de Google Cloud |
Permisos de creación de organizaciones (organización pagada)
Estos permisos son necesarios a fin de crear una organización de Apigee para las cuentas pagas (suscripción o pago por uso):
| Permisos | Tipo de cuenta | Objetivo |
|---|---|---|
compute.regions.list |
Solo pagadas | Selecciona una ubicación de hosting de analítica |
cloudkms.cryptoKeys.listcloudkms.locations.listcloudkms.keyRings.list
|
Solo pagadas | Selecciona una clave de encriptación de base de datos de entorno de ejecución |
cloudkms.cryptoKeys.createcloudkms.keyRings.create |
Solo pagadas | Crea una clave de encriptación de la base de datos del entorno de ejecución |
cloudkms.cryptoKeys.getIamPolicycloudkms.cryptoKeys.setIamPolicy |
Solo pagadas | Otorga permiso a la cuenta de servicio de Apigee para usar una clave de encriptación |
Permisos de creación de la organización (organización de evaluación)
Este permiso es necesario para seleccionar las regiones de hosting de analítica y entorno de ejecución de una organización de evaluación:
| Permisos | Tipo de cuenta | Objetivo |
|---|---|---|
compute.regions.list |
Solo organizaciones de evaluación | Selecciona regiones de hosting de analítica y del entorno de ejecución |
Permisos de herramientas de redes de servicio
Estos permisos son necesarios en los pasos de configuración de la red de servicio. Si usas redes de VPC compartida, consulta Permisos de herramientas de redes de servicio con VPC compartida.
| Permisos | Tipo de cuenta | Objetivo |
|---|---|---|
compute.globalAddresses.createInternalcompute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.networks.get
compute.networks.list
compute.networks.use
compute.projects.get
servicenetworking.operations.get
servicenetworking.services.addPeering
servicenetworking.services.get
|
Pagada y evaluación | Estos permisos son necesarios para realizar las tareas del paso de configuración de red de servicio. |
Permisos de herramientas de redes de servicio con VPC compartida
Si usas redes de nube privada virtual (VPC) compartida, un usuario con privilegios administrativos en el proyecto de VPC compartida debe intercambiar el proyecto de VPC compartida con Apigee, como se describe enUsa redes de VPC compartida. El intercambio de tráfico debe completarse para que el administrador de Apigee pueda completar los pasos de herramientas de redes de servicio. Consulta también Administradores y IAM.
Cuando la VPC compartida está configurada correctamente, el administrador de Apigee necesita estos permisos para completar los pasos de configuración de la red del servicio:
| Permisos | Tipo de cuenta | Objetivo |
|---|---|---|
compute.projects.get
|
Pagada y evaluación | El administrador de Apigee debe tener este permiso en el proyecto en el que se instala Apigee. Este permiso permite que el administrador vea el ID del proyecto host de VPC compartida. |
| Rol de usuario de red de Compute ( compute.networkUser) |
Pagada y evaluación | El administrador de Apigee debe tener este rol en el proyecto host de la VPC compartida. Este rol le permite al administrador ver y seleccionar la red de VPC compartida en la IU de aprovisionamiento de Apigee. |
Permisos de instancia del entorno de ejecución
Estos permisos son necesarios para crear una instancia del entorno de ejecución (solo cuentas de suscripción y pago por uso):
| Permisos | Tipo de cuenta | Objetivo |
|---|---|---|
compute.regions.list |
Solo pagadas | Selecciona una ubicación de hosting del entorno de ejecución |
cloudkms.cryptoKeys.listcloudkms.locations.listcloudkms.keyRings.list
|
Solo pagadas | Selecciona una clave de encriptación de disco del entorno de ejecución |
cloudkms.cryptoKeys.createcloudkms.keyRings.create |
Solo pagadas | Crea una clave de encriptación de disco de entorno de ejecución |
cloudkms.cryptoKeys.getIamPolicycloudkms.cryptoKeys.setIamPolicy |
Solo pagadas | Otorga permiso a la cuenta de servicio de Apigee para usar una clave de encriptación |
Accede a los permisos de enrutamiento
Estos permisos son necesarios para los pasos de enrutamiento de acceso:
| Permisos | Tipo de cuenta | Objetivo |
|---|---|---|
compute.autoscalers.createcompute.backendServices.createcompute.backendServices.usecompute.disks.createcompute.globalAddresses.createcompute.globalAddresses.getcompute.globalAddresses.listcompute.globalAddresses.usecompute.globalForwardingRules.createcompute.globalOperations.getcompute.firewalls.createcompute.firewalls.getcompute.healthChecks.createcompute.healthChecks.useReadOnlycompute.images.getcompute.images.useReadOnlycompute.instances.createcompute.instances.setMetadatacompute.instanceGroups.usecompute.instanceGroupManagers.createcompute.instanceGroupManagers.usecompute.instanceTemplates.getcompute.instanceTemplates.createcompute.instanceTemplates.useReadOnlycompute.networks.getcompute.networks.listcompute.networks.updatePolicycompute.networks.usecompute.regionOperations.getcompute.regionNetworkEndpointGroups.createcompute.regionNetworkEndpointGroups.usecompute.sslCertificates.createcompute.sslCertificates.getcompute.subnetworks.getcompute.subnetworks.listcompute.subnetworks.setPrivateIpGoogleAccesscompute.subnetworks.usecompute.targetHttpsProxies.createcompute.targetHttpsProxies.usecompute.urlMaps.createcompute.urlMaps.use
|
Pagada y evaluación | Configura el enrutamiento de acceso básico |
Accede a los permisos de enrutamiento con VPC compartida
Si usas las redes de nube privada virtual (VPC) compartida, ten en cuenta que debes completar la configuración y el intercambio de tráfico de la VPC para poder realizar el paso de enrutamiento de acceso.
Después de que la VPC compartida esté configurada correctamente, el administrador de Apigee requiere el compute.networkUser en el proyecto de VPC compartida para completar los pasos de enrutamiento de acceso. Consulta también Roles administrativos requeridos para la VPC compartida.