Informazioni sulle autorizzazioni di provisioning di Apigee

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Stai visualizzando la documentazione di Apigee X.
Visualizza la documentazione di Apigee Edge.

Questo documento descrive le autorizzazioni IAM di Google Cloud necessarie per eseguire correttamente il provisioning di Apigee X. Puoi utilizzare ruoli predefiniti per ottenere l'autorizzazione necessaria per eseguire i passaggi di provisioning oppure puoi creare ruoli personalizzati più granulari per concedere all'amministratore Apigee i privilegi minimi necessari per il provisioning di Apigee X.

Proprietario del progetto Google Cloud

Il proprietario del progetto Google Cloud utilizzato per il provisioning Apigee ha l'autorizzazione per eseguire tutti i passaggi di base del provisioning Apigee. Se il provisioner di Apigee non è il proprietario del progetto, utilizza questo documento per determinare le autorizzazioni necessarie per eseguire ciascuno dei passaggi di provisioning. Se utilizzi il networking Virtual Private Cloud (VPC), sono necessarie autorizzazioni aggiuntive nel progetto VPC condiviso, e anche questi casi sono indicati in questo documento.

Ruoli predefiniti

Se vuoi solo assicurarti che l'amministratore di Apigee disponga dell'autorizzazione sufficiente per completare il provisioning, assegna i seguenti ruoli predefiniti:

Ruolo Obbligatorio per la procedura Tipo di account Scopo
Amministratore dell'organizzazione Apigee
apigee.admin
  • Iniziare e utilizzare l'interfaccia utente di provisioning Apigee
  • Crea un'organizzazione
  • Creazione di un ambiente
  • Crea un'istanza Apigee
A pagamento ed eval Concede l'accesso completo a tutte le funzionalità delle risorse Apigee.
Amministratore utilizzo dei servizi
serviceusage.serviceUsageAdmin
  • Abilita API
A pagamento ed eval Possibilità di abilitare, disabilitare e ispezionare gli stati dei servizi, ispezionare le operazioni e utilizzare la quota e la fatturazione per un progetto consumer.
Amministratore Cloud KMS
cloudkms.admin
  • Crea un'organizzazione
  • Configura un'istanza di runtime
Solo a pagamento Creazione di keyring e chiavi Cloud KMS.
Amministratore rete Compute
compute.networkAdmin
  • Crea un'organizzazione
  • Configura un'istanza di runtime
  • Configura il networking dei servizi
  • Configurare il routing degli accessi (per creare il bilanciatore del carico HTTPS esterno)
A pagamento ed eval Elenco delle aree geografiche Compute, configurazione del networking di servizi e creazione del bilanciatore del carico HTTPS esterno.

Autorizzazioni della procedura guidata di provisioning

Per avviare e utilizzare la procedura guidata di provisioning Apigee è necessario disporre di queste autorizzazioni:

Ruolo Tipo di account Scopo
apigee.environments.create
apigee.environments.get
apigee.environments.list
apigee.envgroups.create
apigee.envgroups.get
apigee.envgroups.list
apigee.envgroupattachments.create
apigee.envgroupattachments.list
apigee.instances.create
apigee.instances.get
apigee.instances.list
apigee.instanceattachments.create
apigee.instanceattachments.get
apigee.instanceattachments.list
apigee.organizations.create
apigee.organizations.get
apigee.organizations.update
apigee.projects.update
A pagamento ed eval
  • Iniziare e utilizzare l'interfaccia utente di provisioning Apigee
  • Crea un'organizzazione
  • Creazione di un ambiente
  • Crea un'istanza Apigee

Autorizzazioni di attivazione API

Per abilitare le API Google Cloud sono necessarie queste autorizzazioni:

Ruolo Tipo di account Scopo
serviceusage.services.get
serviceusage.services.enable
A pagamento ed eval Abilitazione delle API Google Cloud

Autorizzazioni per la creazione di organizzazioni (organizzazione a pagamento)

Per creare un'organizzazione Apigee per gli account a pagamento sono necessarie queste autorizzazioni:
Autorizzazioni Tipo di account Scopo
compute.regions.list Solo a pagamento Selezione di una posizione di hosting di analisi
cloudkms.cryptoKeys.list
cloudkms.locations.list
cloudkms.keyRings.list
Solo a pagamento Selezione di una chiave di crittografia del database di runtime
cloudkms.cryptoKeys.create
cloudkms.keyRings.create
Solo a pagamento Creazione di una chiave di crittografia del database di runtime
cloudkms.cryptoKeys.getIamPolicy
cloudkms.cryptoKeys.setIamPolicy
Solo a pagamento Concedere all'account di servizio Apigee l'autorizzazione per utilizzare una chiave di crittografia

Autorizzazioni per la creazione di organizzazioni (organizzazione di valutazione)

Questa autorizzazione è necessaria per selezionare le aree geografiche di analisi e di hosting di runtime per un'organizzazione di valutazione:

Autorizzazioni Tipo di account Scopo
compute.regions.list Solo organizzazioni di valutazione Selezione delle aree geografiche di analisi e di hosting del runtime

Autorizzazioni di networking servizio

Queste autorizzazioni sono necessarie nei passaggi di configurazione del networking di servizio. Se utilizzi il networking VPC condiviso, consulta Autorizzazioni di networking VPC con VPC condiviso.

Autorizzazioni Tipo di account Scopo
compute.globalAddresses.createInternal
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.networks.get
compute.networks.list
compute.networks.use
compute.projects.get
servicenetworking.operations.get
servicenetworking.services.addPeering
servicenetworking.services.get
A pagamento ed eval

Queste autorizzazioni sono necessarie per eseguire le attività durante il passaggio di configurazione del networking di servizio.

Autorizzazioni di networking servizio con VPC condiviso

Se utilizzi il networking VPC condiviso condiviso, un utente con privilegi amministrativi nel progetto VPC condiviso deve eseguire il peering del progetto VPC condiviso con Apigee, come descritto in Configurare il VPC condiviso con Apigee X. Il peering deve essere completato prima che l'amministratore di Apigee possa completare i passaggi di networking del servizio. Vedi anche Amministratori e IAM.

Quando la rete VPC condivisa è configurata correttamente, l'amministratore di Apigee richiede queste autorizzazioni per completare i passaggi di configurazione del servizio di networking:

Autorizzazioni Tipo di account Scopo
compute.projects.get A pagamento ed eval

L'amministratore di Apigee deve disporre di questa autorizzazione nel progetto in cui è installato Apigee. Questa autorizzazione consente all'amministratore di visualizzare l'ID del progetto host del VPC condiviso.

Ruolo Utente di rete Compute
(compute.networkUser)
A pagamento ed eval All'amministratore di Apigee deve essere assegnato questo ruolo nel progetto host del VPC condiviso. Questo ruolo consente all'amministratore di visualizzare e selezionare la rete VPC condivisa nell'interfaccia utente di provisioning Apigee.

Autorizzazioni per le istanze di runtime

Per creare un'istanza di runtime (solo per gli account a pagamento) sono necessarie queste autorizzazioni:

Autorizzazioni Tipo di account Scopo
compute.regions.list Solo a pagamento Selezione di una località di hosting di runtime
cloudkms.cryptoKeys.list
cloudkms.locations.list
cloudkms.keyRings.list
Solo a pagamento Selezione di una chiave di crittografia del disco di runtime
cloudkms.cryptoKeys.create
cloudkms.keyRings.create
Solo a pagamento Creazione di una chiave di crittografia del disco di runtime
cloudkms.cryptoKeys.getIamPolicy
cloudkms.cryptoKeys.setIamPolicy
Solo a pagamento Concedere all'account di servizio Apigee l'autorizzazione per utilizzare una chiave di crittografia

Autorizzazioni di routing dell'accesso

Per i passaggi di routing dell'accesso sono necessarie queste autorizzazioni:

Autorizzazioni Tipo di account Scopo
compute.autoscalers.create
compute.backendServices.create
compute.backendServices.use
compute.disks.create
compute.globalAddresses.create
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.globalForwardingRules.create
compute.globalOperations.get
compute.firewalls.create
compute.firewalls.get
compute.healthChecks.create
compute.healthChecks.useReadOnly
compute.images.get
compute.images.useReadOnly
compute.instances.create
compute.instances.setMetadata
compute.instanceGroups.use
compute.instanceGroupManagers.create
compute.instanceGroupManagers.use
compute.instanceTemplates.get
compute.instanceTemplates.create
compute.instanceTemplates.useReadOnly
compute.networks.get
compute.networks.list
compute.networks.updatePolicy
compute.networks.use
compute.regionOperations.get
compute.sslCertificates.create
compute.sslCertificates.get
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.setPrivateIpGoogleAccess
compute.subnetworks.use
compute.targetHttpsProxies.create
compute.targetHttpsProxies.use
compute.urlMaps.create
compute.urlMaps.use
A pagamento ed eval

Configurazione del routing dell'accesso di base

Autorizzazioni di routing con VPC condiviso

Se utilizzi il networking Virtual Private Cloud (VPC), tieni presente che la configurazione e il peering VPC condivisi devono essere completati prima di poter eseguire il passaggio di routing dell'accesso.

Una volta configurato correttamente il VPC condiviso, l'amministratore di Apigee richiede il ruolo compute.networkUser nel progetto VPC condiviso per completare i passaggi del routing di accesso. Consulta anche i ruoli amministrativi obbligatori per la rete VPC condivisa.