À propos des autorisations de provisionnement Apigee

Cette page s'applique à Apigee, mais pas à Apigee hybrid.

Consultez la documentation d'Apigee Edge.

Ce document décrit les autorisations Google Cloud IAM requises pour provisionner Apigee.

Vous pouvez spécifier des autorisations à l'aide des éléments suivants :

  • Rôles prédéfinis : vous devez accorder des autorisations suffisantes pour effectuer les étapes de provisionnement. Les rôles prédéfinis peuvent accorder à l'administrateur Apigee plus d'autorisations que nécessaire pour effectuer le provisionnement.
  • Rôles personnalisés : fournissez le moindre privilège nécessaire pour effectuer les étapes de provisionnement.

Rôle Propriétaire du projet Google Cloud

Le propriétaire du projet Google Cloud utilisé pour le provisionnement Apigee est déjà autorisé à effectuer toutes les étapes de provisionnement de base d'Apigee.

Si l'approvisionneur Apigee n'est pas le propriétaire du projet, utilisez ce document pour déterminer les autorisations nécessaires pour effectuer chacune des étapes de provisionnement.

Si vous utilisez un réseau VPC (Virtual Private Cloud, cloud privé virtuel) partagé, des autorisations supplémentaires sont requises dans le projet de VPC partagé. Ces cas sont également mentionnés dans ce document.

Rôles prédéfinis

Si vous souhaitez simplement vous assurer que l'administrateur Apigee est autorisé à effectuer le provisionnement, attribuez à l'administrateur Apigee les rôles IAM prédéfinis suivants. Toutefois, les rôles prédéfinis peuvent accorder à l'administrateur Apigee plus d'autorisations que nécessaire pour effectuer le provisionnement. Consultez la section Rôles et autorisations personnalisés pour fournir les moindres privilèges nécessaires.

Spécifier un rôle prédéfini

Pour ajouter des utilisateurs et des rôles :

  1. Dans la console Google Cloud, accédez à IAM et administration > IAM pour votre projet.

    Accéder à la page IAM/Iam

  2. Pour ajouter un compte utilisateur, procédez comme suit :
    1. Cliquez sur Accorder l'accès.
    2. Saisissez un nouveau nom pour le Compte principal.
    3. Cliquez sur le menu Sélectionner un rôle, puis saisissez le nom du rôle dans le champ Filtre. Par exemple : Apigee Organization Admin. Cliquez sur le rôle répertorié dans les résultats.
    4. Cliquez sur Save (Enregistrer).
  3. Pour modifier les informations associées à un utilisateur existant, procédez comme suit :
    1. Cliquez sur Modifier.
    2. Pour modifier un rôle existant, cliquez sur le menu Rôle, puis sélectionnez un autre rôle.
    3. Pour ajouter un autre rôle, cliquez sur Ajouter un autre rôle.
    4. Cliquez sur le menu Sélectionner un rôle, puis saisissez le nom du rôle dans le champ Filtre. Par exemple : Apigee Organization Admin. Cliquez sur le rôle répertorié dans les résultats.
    5. Cliquez sur Save (Enregistrer).
Rôle Obligatoire pour les étapes Type de compte Objectif
Administrateur de l'organisation Apigee
apigee.admin
  • Démarrer le provisionnement Apigee
  • Créer une organisation
  • Créez un environnement
  • Créez une instance Apigee
Payant et d'évaluation Accès complet à toutes les fonctionnalités des ressources Apigee
Administrateur Service Usage
serviceusage.serviceUsageAdmin
  • Activer les API
Payant et d'évaluation Possibilité d'activer, de désactiver et d'inspecter les états de service ; d'inspecter les opérations ; et de consommer les quotas et la facturation pour un projet destiné au consommateur.
Administrateur Cloud KMS
cloudkms.admin
  • Créer une organisation
  • Configurer une instance d'exécution
Payant uniquement Création de clés et de trousseaux de clés Cloud KMS
Administrateur de réseaux Compute
compute.networkAdmin
  • Créer une organisation
  • Configurer une instance d'exécution
  • Configurez la mise en réseau du service.
  • Configurer le routage des accès (pour créer l'équilibreur de charge HTTPS externe)
Payant et d'évaluation Répertoriez les régions Compute, configurer la mise en réseau de services et créer l'équilibreur de charge HTTPS externe.

Rôles et autorisations personnalisés

Pour fournir les moindres privilèges nécessaires, créez un rôle personnalisé IAM et attribuez les autorisations présentées dans les sections suivantes.

Spécifier un rôle personnalisé

Pour ajouter un rôle personnalisé, procédez comme suit :

  1. Dans la console Google Cloud, accédez à IAM et administration > Rôles pour votre projet.

    Accéder à la page "IAM et administration/Rôles"

  2. Pour ajouter un rôle, procédez comme suit :
    1. Cliquez sur Créer un rôle.
    2. Saisissez un nouveau titre.
    3. Saisissez une description (facultatif).
    4. Saisissez un ID.
    5. Sélectionnez une étape de lancement du rôle.
    6. Cliquez sur Ajouter des autorisations.
    7. Copiez le texte d'autorisation souhaité à partir des tableaux ci-dessous, puis collez-le dans le champ Filtre. Par exemple, apigee.environments.create.
    8. Appuyez sur Entrée ou cliquez sur un élément des résultats.
    9. Cochez la case correspondant à l'élément que vous venez d'ajouter.
    10. Cliquez sur Ajouter.
    11. Une fois que vous avez ajouté toutes les autorisations associées à ce rôle, cliquez sur Créer.
  3. Pour modifier un rôle personnalisé existant, procédez comme suit :
    1. Localisez le rôle personnalisé.
    2. Cliquez sur Plus > Modifier.
    3. Apportez toutes les modifications nécessaires.
    4. Cliquez sur Update (Mettre à jour).

Autorisations de gestion Apigee basées sur l'UI

Cette autorisation est requise pour tous les utilisateurs qui géreront une organisation via l'interface utilisateur Apigee dans Cloud Console. Incluez-la dans des rôles personnalisés qui impliquent une gestion via cette interface.

Rôle Type de compte Usage
apigee.projectorganizations.get
Payant et d'évaluation

Autorisations de provisionnement

Ces autorisations sont nécessaires pour commencer à provisionner Apigee :

Rôle Type de compte Usage
apigee.entitlements.get
apigee.environments.create
apigee.environments.get
apigee.environments.list
apigee.envgroups.create
apigee.envgroups.get
apigee.envgroups.list
apigee.envgroups.update
apigee.envgroupattachments.create
apigee.envgroupattachments.list
apigee.instances.create
apigee.instances.get
apigee.instances.list
apigee.instanceattachments.create
apigee.instanceattachments.get
apigee.instanceattachments.list
apigee.operations.get
apigee.operations.list
apigee.organizations.create
apigee.organizations.get
apigee.organizations.update
apigee.projectorganizations.get
apigee.projects.update
apigee.setupcontexts.get
apigee.setupcontexts.update
Payant et d'évaluation
  • Démarrer le provisionnement Apigee
  • Créer une organisation
  • Créez un environnement
  • Créez une instance Apigee

Autorisations d'activation de l'API

Ces autorisations sont requises pour activer les API Google Cloud :

Rôle Type de compte Usage
serviceusage.services.get
serviceusage.services.enable
Payant et d'évaluation Activer des API Google Cloud

Autorisations de création d'organisation (organisation payante)

Ces autorisations sont nécessaires pour créer une organisation Apigee pour les comptes payants (abonnement ou paiement à l'usage) :

Autorisations Type de compte Usage
compute.regions.list Payant uniquement Sélectionner un emplacement d'hébergement de données analytiques
cloudkms.cryptoKeys.list
cloudkms.locations.list
cloudkms.keyRings.list
Payant uniquement Sélectionner une clé de chiffrement de base de données d'exécution
cloudkms.cryptoKeys.create
cloudkms.keyRings.create
Payant uniquement Créer une clé de chiffrement de base de données d'exécution
cloudkms.cryptoKeys.getIamPolicy
cloudkms.cryptoKeys.setIamPolicy
Payant uniquement Accorder au compte de service Apigee l'autorisation d'utiliser une clé de chiffrement

Autorisations de création d'organisation (organisation d'évaluation)

Cette autorisation est requise pour sélectionner des régions d'hébergement de données analytiques et d'exécution pour une organisation d'évaluation :

Autorisations Type de compte Usage
compute.regions.list Organisations d'évaluation uniquement Sélectionner des régions d'hébergement de données analytiques et d'exécution

Autorisations de mise en réseau de services

Ces autorisations sont nécessaires dans les étapes de configuration de la mise en réseau de services. Si vous utilisez un réseau VPC partagé, consultez la section Autorisations de mise en réseau de services avec un VPC partagé.

Autorisations Type de compte Usage
compute.globalAddresses.createInternal
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.networks.get
compute.networks.list
compute.networks.use
compute.projects.get
servicenetworking.operations.get
servicenetworking.services.addPeering
servicenetworking.services.get
Payant et d'évaluation

Ces autorisations sont nécessaires pour effectuer les tâches de l'étape de configuration de la mise en réseau de services.

Autorisations de mise en réseau de services avec un VPC partagé

Si vous utilisez une mise en réseau de cloud privé virtuel (VPC) partagé, un utilisateur disposant de droits d'administrateur dans le projet VPC partagé doit appairer le projet VPC partagé à Apigee, comme décrit dans la page Utiliser des réseaux VPC partagés. L'appairage doit être terminé pour que l'administrateur Apigee puisse effectuer les étapes de mise en réseau du service. Consultez également la section Administrateurs et IAM.

Lorsque le VPC partagé est correctement configuré, l'administrateur Apigee a besoin de ces autorisations pour effectuer les étapes de configuration de la mise en réseau de services :

Autorisations Type de compte Usage
compute.projects.get Payant et d'évaluation

L'administrateur Apigee doit disposer de cette autorisation dans le projet où Apigee est installé. Cette autorisation permet à l'administrateur d'afficher l'ID du projet hôte de VPC partagé.

Rôle d'utilisateur de réseau de Compute
(compute.networkUser)
Payant et d'évaluation L'administrateur Apigee doit disposer de ce rôle dans le projet hôte de VPC partagé. Ce rôle permet à l'administrateur d'afficher et de sélectionner le réseau VPC partagé dans l'interface utilisateur de gestion des comptes Apigee.

Autorisations concernant les instances d'exécution

Ces autorisations sont nécessaires pour créer une instance d'exécution (comptes d'abonnement et de paiement à l'usage uniquement) :

Autorisations Type de compte Usage
compute.regions.list Payant uniquement Sélectionner un emplacement d'hébergement d'exécution
cloudkms.cryptoKeys.list
cloudkms.locations.list
cloudkms.keyRings.list
Payant uniquement Sélectionner une clé de chiffrement de disque d'exécution
cloudkms.cryptoKeys.create
cloudkms.keyRings.create
Payant uniquement Créer une clé de chiffrement de disque d'exécution
cloudkms.cryptoKeys.getIamPolicy
cloudkms.cryptoKeys.setIamPolicy
Payant uniquement Accorder au compte de service Apigee l'autorisation d'utiliser une clé de chiffrement

Autorisations de routage des accès

Ces autorisations sont nécessaires pour les étapes de routage des accès :

Autorisations Type de compte Usage
compute.autoscalers.create
compute.backendServices.create
compute.backendServices.use
compute.disks.create
compute.globalAddresses.create
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.globalForwardingRules.create
compute.globalOperations.get
compute.firewalls.create
compute.firewalls.get
compute.healthChecks.create
compute.healthChecks.useReadOnly
compute.images.get
compute.images.useReadOnly
compute.instances.create
compute.instances.setMetadata
compute.instanceGroups.use
compute.instanceGroupManagers.create
compute.instanceGroupManagers.use
compute.instanceTemplates.get
compute.instanceTemplates.create
compute.instanceTemplates.useReadOnly
compute.networks.get
compute.networks.list
compute.networks.updatePolicy
compute.networks.use
compute.regionOperations.get
compute.regionNetworkEndpointGroups.create
compute.regionNetworkEndpointGroups.use
compute.sslCertificates.create
compute.sslCertificates.get
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.setPrivateIpGoogleAccess
compute.subnetworks.use
compute.targetHttpsProxies.create
compute.targetHttpsProxies.use
compute.urlMaps.create
compute.urlMaps.use
Payant et d'évaluation

Configurer le routage d'accès de base

Autorisations de routage des accès avec un VPC partagé

Si vous utilisez un réseau VPC partagé, sachez que vous devez effectuer la configuration et l'appairage du VPC partagé avant de pouvoir effectuer l'étape de routage des accès.

Une fois le VPC partagé configuré correctement, l'administrateur Apigee requiert le rôle compute.networkUser dans le projet VPC partagé pour effectuer les étapes de routage des accès. Consultez également la section Rôles administratifs requis pour le VPC partagé.