Informazioni sulle autorizzazioni di provisioning di Apigee

Questa pagina riguarda Apigee, ma non Apigee hybrid.

Visualizza la documentazione di Apigee Edge.

Questo documento descrive le autorizzazioni IAM di Google Cloud necessarie per eseguire correttamente il provisioning di Apigee.

Puoi specificare le autorizzazioni utilizzando:

  • Ruoli predefiniti: fornisci autorizzazioni sufficienti per eseguire i passaggi di provisioning. I ruoli predefiniti possono concedere all'amministratore Apigee più autorizzazioni di quelle necessarie per completare il provisioning.
  • Ruoli personalizzati: fornisci il privilegio meno necessario necessario per eseguire la procedura di provisioning.

Ruolo di proprietario del progetto Google Cloud

Il proprietario del progetto Google Cloud utilizzato per il provisioning di Apigee ha già l'autorizzazione per eseguire tutti i passaggi di provisioning di base di Apigee.

Se il provisioner di Apigee non è il proprietario del progetto, utilizza questo documento per determinare le autorizzazioni necessarie per eseguire ogni passaggio di provisioning.

Se utilizzi il networking VPC (Shared Virtual Private Cloud), sono necessarie autorizzazioni aggiuntive nel progetto VPC condiviso e questi casi sono indicati anche in questo documento.

Ruoli predefiniti

Se vuoi solo assicurarti che l'amministratore di Apigee disponga delle autorizzazioni sufficienti per completare il provisioning, assegna all'amministratore di Apigee i seguenti ruoli predefiniti IAM. Tuttavia, i ruoli predefiniti possono concedere all'amministratore di Apigee più autorizzazioni di quelle necessarie per completare il provisioning. Per fornire i privilegi meno necessari, consulta Autorizzazioni e ruoli personalizzati.

Come specificare un ruolo predefinito

Per aggiungere utenti e ruoli:

  1. Nella console Google Cloud, vai a IAM e amministrazione > IAM per il tuo progetto.

    Vai alla pagina IAM/Iam

  2. Per aggiungere un nuovo utente:
    1. Fai clic su Concedi accesso.
    2. Digita un nuovo nome per l'Entità.
    3. Fai clic sul menu Seleziona un ruolo e digita il nome del ruolo nel campo Filtro. Ad esempio, Apigee Organization Admin. Fai clic sul ruolo elencato nei risultati.
    4. Fai clic su Salva.
  3. Per modificare un utente esistente:
    1. Fai clic su Modifica.
    2. Per modificare un ruolo esistente, fai clic sul menu Ruolo e selezionane uno diverso.
    3. Per aggiungere un altro ruolo, fai clic su Aggiungi un altro ruolo.
    4. Fai clic sul menu Seleziona un ruolo e digita il nome del ruolo nel campo Filtro. Ad esempio, Apigee Organization Admin. Fai clic sul ruolo elencato nei risultati.
    5. Fai clic su Salva.
Ruolo Obbligatorio per i passaggi Tipo di conto Finalità
Amministratore organizzazione Apigee
apigee.admin
  • Avvia il provisioning di Apigee
  • Crea un'organizzazione
  • Creazione di un ambiente
  • Crea un'istanza Apigee
A pagamento e valutazione Concede l'accesso completo a tutte le funzionalità delle risorse Apigee.
Amministratore Service Usage
serviceusage.serviceUsageAdmin
  • Abilita API
A pagamento e valutazione Può abilitare, disabilitare e analizzare gli stati di servizio, controllare le operazioni e utilizzare la quota e la fatturazione per un progetto consumer.
Amministratore Cloud KMS
cloudkms.admin
  • Crea un'organizzazione
  • Configura un'istanza di runtime
Solo a pagamento Creazione di chiavi e keyring Cloud KMS.
Amministratore rete Compute
compute.networkAdmin
  • Crea un'organizzazione
  • Configura un'istanza di runtime
  • Configura il networking di servizi
  • Configura il routing degli accessi (per creare il bilanciatore del carico HTTPS esterno)
A pagamento e valutazione Elenco delle regioni di computing, configurazione del networking di servizi e creazione del bilanciatore del carico HTTPS esterno.

Autorizzazioni e ruoli personalizzati

Per fornire i privilegi meno necessari, crea un ruolo personalizzato IAM e assegna le autorizzazioni dalle sezioni seguenti.

Come specificare un ruolo personalizzato

Per aggiungere un ruolo personalizzato:

  1. Nella console Google Cloud, vai a IAM e amministrazione > Ruoli per il tuo progetto.

    Vai alla pagina IAM e amministrazione/Ruoli

  2. Per aggiungere un nuovo ruolo:
    1. Fai clic su Crea ruolo.
    2. Digita un nuovo Titolo.
    3. (Facoltativo) Digita una descrizione.
    4. Digita un ID.
    5. Seleziona una Fase di lancio del ruolo.
    6. Fai clic su Aggiungi autorizzazioni.
    7. Copia il testo delle autorizzazioni desiderato dalle tabelle seguenti e incollalo nel campo Filtro. Ad esempio, apigee.environments.create.
    8. Premi Invio o fai clic su un elemento nei risultati.
    9. Seleziona la casella di controllo relativa all'elemento appena aggiunto.
    10. Fai clic su Aggiungi.
    11. Dopo aver aggiunto tutte le autorizzazioni per questo ruolo, fai clic su Crea.
  3. Per modificare un ruolo personalizzato esistente:
    1. Individua il ruolo personalizzato.
    2. Fai clic su Altro > Modifica.
    3. Apporta le modifiche che preferisci.
    4. Fai clic su Aggiorna.

Autorizzazioni di gestione Apigee basate su UI

Questa autorizzazione è richiesta per tutti gli utenti che gestiranno un'organizzazione tramite l'UI di Apigee nella console Cloud. Includilo in ruoli personalizzati che prevedono la gestione tramite quell'interfaccia.

Ruolo Tipo di conto Finalità
apigee.projectorganizations.get
A pagamento e valutazione

Autorizzazioni di provisioning

Queste autorizzazioni sono necessarie per avviare il provisioning di Apigee:

Ruolo Tipo di conto Finalità
apigee.entitlements.get
apigee.environments.create
apigee.environments.get
apigee.environments.list
apigee.envgroups.create
apigee.envgroups.get
apigee.envgroups.list
apigee.envgroups.update
apigee.envgroupattachments.create
apigee.envgroupattachments.list
apigee.instances.create
apigee.instances.get
apigee.instances.list
apigee.instanceattachments.create
apigee.instanceattachments.get
apigee.instanceattachments.list
apigee.operations.get
apigee.operations.list
apigee.organizations.create
apigee.organizations.get
apigee.organizations.update
apigee.projectorganizations.get
apigee.projects.update
apigee.setupcontexts.get
apigee.setupcontexts.update
A pagamento e valutazione
  • Avvia il provisioning di Apigee
  • Crea un'organizzazione
  • Creazione di un ambiente
  • Crea un'istanza Apigee

Autorizzazioni di abilitazione delle API

Per abilitare le API Google Cloud sono necessarie le seguenti autorizzazioni:

Ruolo Tipo di conto Finalità
serviceusage.services.get
serviceusage.services.enable
A pagamento e valutazione Abilitazione delle API Google Cloud

Autorizzazioni di creazione dell'organizzazione (organizzazione a pagamento)

Queste autorizzazioni sono necessarie per creare un'organizzazione Apigee per gli account a pagamento (abbonamento o pagamento a consumo):

Autorizzazioni Tipo di conto Finalità
compute.regions.list Solo a pagamento Selezione di una posizione di hosting per l'analisi
cloudkms.cryptoKeys.list
cloudkms.locations.list
cloudkms.keyRings.list
Solo a pagamento Selezione di una chiave di crittografia del database di runtime
cloudkms.cryptoKeys.create
cloudkms.keyRings.create
Solo a pagamento Creazione di una chiave di crittografia del database di runtime
cloudkms.cryptoKeys.getIamPolicy
cloudkms.cryptoKeys.setIamPolicy
Solo a pagamento Concessione dell'autorizzazione all'account di servizio Apigee per utilizzare una chiave di crittografia

Autorizzazioni di creazione dell'organizzazione (eval org)

Questa autorizzazione è necessaria per selezionare le regioni di hosting di analisi e runtime per un'organizzazione di valutazione:

Autorizzazioni Tipo di conto Finalità
compute.regions.list Solo organizzazioni di valutazione Selezione delle regioni di hosting per analisi e runtime

Autorizzazioni di networking di servizi

Queste autorizzazioni sono necessarie nei passaggi di configurazione della rete di servizi. Se utilizzi il networking VPC condiviso, consulta Autorizzazioni di networking dei servizi con VPC condiviso.

Autorizzazioni Tipo di conto Finalità
compute.globalAddresses.createInternal
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.networks.get
compute.networks.list
compute.networks.use
compute.projects.get
servicenetworking.operations.get
servicenetworking.services.addPeering
servicenetworking.services.get
A pagamento e valutazione

Queste autorizzazioni sono necessarie per eseguire le attività nel passaggio di configurazione del networking di servizi.

Autorizzazioni di networking dei servizi con VPC condiviso

Se utilizzi il networking VPC (Virtual Private Cloud) condiviso, un utente con privilegi amministrativi nel progetto VPC condiviso deve eseguire il peering del progetto VPC condiviso con Apigee, come descritto in Utilizzo di reti VPC condivise. Il peering deve essere completato prima che l'amministratore di Apigee possa completare i passaggi del networking di servizi. Vedi anche Amministratori e IAM.

Una volta configurato correttamente il VPC condiviso, l'amministratore di Apigee ha bisogno di queste autorizzazioni per completare i passaggi di configurazione della rete di servizi:

Autorizzazioni Tipo di conto Finalità
compute.projects.get A pagamento e valutazione

L'amministratore di Apigee deve disporre di questa autorizzazione nel progetto in cui è installato Apigee. Questa autorizzazione consente all'amministratore di visualizzare l'ID progetto host del VPC condiviso.

Ruolo Utente di rete Compute
(compute.networkUser)
A pagamento e valutazione È necessario concedere questo ruolo all'amministratore di Apigee nel progetto host del VPC condiviso. Questo ruolo consente all'amministratore di visualizzare e selezionare la rete VPC condiviso nell'interfaccia utente di provisioning di Apigee.

Autorizzazioni dell'istanza di runtime

Queste autorizzazioni sono necessarie per creare un'istanza di runtime (solo per account abbonamento e pagamento a consumo):

Autorizzazioni Tipo di conto Finalità
compute.regions.list Solo a pagamento Selezione di una posizione di hosting per il runtime
cloudkms.cryptoKeys.list
cloudkms.locations.list
cloudkms.keyRings.list
Solo a pagamento Selezione di una chiave di crittografia del disco di runtime
cloudkms.cryptoKeys.create
cloudkms.keyRings.create
Solo a pagamento Creazione di una chiave di crittografia del disco di runtime
cloudkms.cryptoKeys.getIamPolicy
cloudkms.cryptoKeys.setIamPolicy
Solo a pagamento Concessione dell'autorizzazione all'account di servizio Apigee per utilizzare una chiave di crittografia

Autorizzazioni di routing dell'accesso

Queste autorizzazioni sono necessarie per i passaggi del routing degli accessi:

Autorizzazioni Tipo di conto Finalità
compute.autoscalers.create
compute.backendServices.create
compute.backendServices.use
compute.disks.create
compute.globalAddresses.create
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.globalForwardingRules.create
compute.globalOperations.get
compute.firewalls.create
compute.firewalls.get
compute.healthChecks.create
compute.healthChecks.useReadOnly
compute.images.get
compute.images.useReadOnly
compute.instances.create
compute.instances.setMetadata
compute.instanceGroups.use
compute.instanceGroupManagers.create
compute.instanceGroupManagers.use
compute.instanceTemplates.get
compute.instanceTemplates.create
compute.instanceTemplates.useReadOnly
compute.networks.get
compute.networks.list
compute.networks.updatePolicy
compute.networks.use
compute.regionOperations.get
compute.regionNetworkEndpointGroups.create
compute.regionNetworkEndpointGroups.use
compute.sslCertificates.create
compute.sslCertificates.get
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.setPrivateIpGoogleAccess
compute.subnetworks.use
compute.targetHttpsProxies.create
compute.targetHttpsProxies.use
compute.urlMaps.create
compute.urlMaps.use
A pagamento e valutazione

Configurazione del routing di accesso di base

Accedi alle autorizzazioni di routing con un VPC condiviso

Se utilizzi il networking VPC (Virtual Private Cloud) condiviso, tieni presente che la configurazione e il peering del VPC condiviso devono essere completati prima di poter eseguire il passaggio del routing degli accessi.

Una volta configurato correttamente il VPC condiviso, l'amministratore di Apigee richiede il ruolo compute.networkUser nel progetto VPC condiviso per completare i passaggi di routing dell'accesso. Vedi anche Ruoli amministrativi obbligatori per VPC condiviso.