Informazioni sulle autorizzazioni di provisioning di Apigee

Stai visualizzando la documentazione di Apigee X.
Visualizza la documentazione di Apigee Edge.

Questo documento descrive le autorizzazioni IAM di Google Cloud necessarie per eseguire correttamente il provisioning di Apigee X. Puoi utilizzare ruoli predefiniti per ottenere l'autorizzazione necessaria per eseguire i passaggi di provisioning oppure puoi creare ruoli personalizzati più granulari per concedere all'amministratore Apigee i privilegi minimi necessari per il provisioning di Apigee X.

Proprietario del progetto Google Cloud

Il proprietario del progetto Google Cloud utilizzato per il provisioning Apigee ha l'autorizzazione per eseguire tutti i passaggi di base del provisioning Apigee. Se il provisioner di Apigee non è il proprietario del progetto, utilizza questo documento per determinare le autorizzazioni necessarie per eseguire ciascuno dei passaggi di provisioning. Se utilizzi il networking Virtual Private Cloud (VPC), sono necessarie autorizzazioni aggiuntive nel progetto VPC condiviso, e anche questi casi sono indicati in questo documento.

Ruoli predefiniti

Se vuoi solo assicurarti che l'amministratore di Apigee disponga dell'autorizzazione sufficiente per completare il provisioning, assegna i seguenti ruoli predefiniti:

Ruolo	Obbligatorio per la procedura	Tipo di account	Scopo
Amministratore dell'organizzazione Apigee `apigee.admin`	Iniziare e utilizzare l'interfaccia utente di provisioning Apigee Crea un'organizzazione Creazione di un ambiente Crea un'istanza Apigee	A pagamento ed eval	Concede l'accesso completo a tutte le funzionalità delle risorse Apigee.
Amministratore utilizzo dei servizi `serviceusage.serviceUsageAdmin`	Abilita API	A pagamento ed eval	Possibilità di abilitare, disabilitare e ispezionare gli stati dei servizi, ispezionare le operazioni e utilizzare la quota e la fatturazione per un progetto consumer.
Amministratore Cloud KMS `cloudkms.admin`	Crea un'organizzazione Configura un'istanza di runtime	Solo a pagamento	Creazione di keyring e chiavi Cloud KMS.
Amministratore rete Compute `compute.networkAdmin`	Crea un'organizzazione Configura un'istanza di runtime Configura il networking dei servizi Configurare il routing degli accessi (per creare il bilanciatore del carico HTTPS esterno)	A pagamento ed eval	Elenco delle aree geografiche Compute, configurazione del networking di servizi e creazione del bilanciatore del carico HTTPS esterno.

Autorizzazioni della procedura guidata di provisioning

Per avviare e utilizzare la procedura guidata di provisioning Apigee è necessario disporre di queste autorizzazioni:

Ruolo	Tipo di account	Scopo
`apigee.environments.create` `apigee.environments.get` `apigee.environments.list` `apigee.envgroups.create` `apigee.envgroups.get` `apigee.envgroups.list` `apigee.envgroupattachments.create` `apigee.envgroupattachments.list` `apigee.instances.create` `apigee.instances.get` `apigee.instances.list` `apigee.instanceattachments.create` `apigee.instanceattachments.get` `apigee.instanceattachments.list` `apigee.organizations.create` `apigee.organizations.get` `apigee.organizations.update` `apigee.projects.update`	A pagamento ed eval	Iniziare e utilizzare l'interfaccia utente di provisioning Apigee Crea un'organizzazione Creazione di un ambiente Crea un'istanza Apigee

Autorizzazioni di attivazione API

Per abilitare le API Google Cloud sono necessarie queste autorizzazioni:

Ruolo	Tipo di account	Scopo
`serviceusage.services.get` `serviceusage.services.enable`	A pagamento ed eval	Abilitazione delle API Google Cloud

Autorizzazioni per la creazione di organizzazioni (organizzazione a pagamento)

Per creare un'organizzazione Apigee per gli account a pagamento sono necessarie queste autorizzazioni:

Autorizzazioni	Tipo di account	Scopo
`compute.regions.list`	Solo a pagamento	Selezione di una posizione di hosting di analisi
`cloudkms.cryptoKeys.list` `cloudkms.locations.list` `cloudkms.keyRings.list`	Solo a pagamento	Selezione di una chiave di crittografia del database di runtime
`cloudkms.cryptoKeys.create` `cloudkms.keyRings.create`	Solo a pagamento	Creazione di una chiave di crittografia del database di runtime
`cloudkms.cryptoKeys.getIamPolicy` `cloudkms.cryptoKeys.setIamPolicy`	Solo a pagamento	Concedere all'account di servizio Apigee l'autorizzazione per utilizzare una chiave di crittografia

Autorizzazioni per la creazione di organizzazioni (organizzazione di valutazione)

Questa autorizzazione è necessaria per selezionare le aree geografiche di analisi e di hosting di runtime per un'organizzazione di valutazione:

Autorizzazioni	Tipo di account	Scopo
`compute.regions.list`	Solo organizzazioni di valutazione	Selezione delle aree geografiche di analisi e di hosting del runtime

Autorizzazioni di networking servizio

Queste autorizzazioni sono necessarie nei passaggi di configurazione del networking di servizio. Se utilizzi il networking VPC condiviso, consulta Autorizzazioni di networking VPC con VPC condiviso.

Autorizzazioni	Tipo di account	Scopo
`compute.globalAddresses.createInternal` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalAddresses.use` `compute.networks.get` `compute.networks.list` `compute.networks.use` `compute.projects.get` `servicenetworking.operations.get` `servicenetworking.services.addPeering` `servicenetworking.services.get`	A pagamento ed eval	Queste autorizzazioni sono necessarie per eseguire le attività durante il passaggio di configurazione del networking di servizio. Nota: se utilizzi il networking Virtual Private Cloud (VPC), vedi Autorizzazioni di networking del servizio con VPC condiviso.

Autorizzazioni di networking servizio con VPC condiviso

Se utilizzi il networking VPC condiviso condiviso, un utente con privilegi amministrativi nel progetto VPC condiviso deve eseguire il peering del progetto VPC condiviso con Apigee, come descritto in Configurare il VPC condiviso con Apigee X. Il peering deve essere completato prima che l'amministratore di Apigee possa completare i passaggi di networking del servizio. Vedi anche Amministratori e IAM.

Quando la rete VPC condivisa è configurata correttamente, l'amministratore di Apigee richiede queste autorizzazioni per completare i passaggi di configurazione del servizio di networking:

Autorizzazioni	Tipo di account	Scopo
`compute.projects.get`	A pagamento ed eval	L'amministratore di Apigee deve disporre di questa autorizzazione nel progetto in cui è installato Apigee. Questa autorizzazione consente all'amministratore di visualizzare l'ID del progetto host del VPC condiviso.
Ruolo Utente di rete Compute (`compute.networkUser`)	A pagamento ed eval	All'amministratore di Apigee deve essere assegnato questo ruolo nel progetto host del VPC condiviso. Questo ruolo consente all'amministratore di visualizzare e selezionare la rete VPC condivisa nell'interfaccia utente di provisioning Apigee.

Autorizzazioni per le istanze di runtime

Per creare un'istanza di runtime (solo per gli account a pagamento) sono necessarie queste autorizzazioni:

Autorizzazioni	Tipo di account	Scopo
`compute.regions.list`	Solo a pagamento	Selezione di una località di hosting di runtime
`cloudkms.cryptoKeys.list` `cloudkms.locations.list` `cloudkms.keyRings.list`	Solo a pagamento	Selezione di una chiave di crittografia del disco di runtime
`cloudkms.cryptoKeys.create` `cloudkms.keyRings.create`	Solo a pagamento	Creazione di una chiave di crittografia del disco di runtime
`cloudkms.cryptoKeys.getIamPolicy` `cloudkms.cryptoKeys.setIamPolicy`	Solo a pagamento	Concedere all'account di servizio Apigee l'autorizzazione per utilizzare una chiave di crittografia

Autorizzazioni di routing dell'accesso

Per i passaggi di routing dell'accesso sono necessarie queste autorizzazioni:

Autorizzazioni	Tipo di account	Scopo
`compute.autoscalers.create` `compute.backendServices.create` `compute.backendServices.use` `compute.disks.create` `compute.globalAddresses.create` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalAddresses.use` `compute.globalForwardingRules.create` `compute.globalOperations.get` `compute.firewalls.create` `compute.firewalls.get` `compute.healthChecks.create` `compute.healthChecks.useReadOnly` `compute.images.get` `compute.images.useReadOnly` `compute.instances.create` `compute.instances.setMetadata` `compute.instanceGroups.use` `compute.instanceGroupManagers.create` `compute.instanceGroupManagers.use` `compute.instanceTemplates.get` `compute.instanceTemplates.create` `compute.instanceTemplates.useReadOnly` `compute.networks.get` `compute.networks.list` `compute.networks.updatePolicy` `compute.networks.use` `compute.regionOperations.get` `compute.sslCertificates.create` `compute.sslCertificates.get` `compute.subnetworks.get` `compute.subnetworks.list` `compute.subnetworks.setPrivateIpGoogleAccess` `compute.subnetworks.use` `compute.targetHttpsProxies.create` `compute.targetHttpsProxies.use` `compute.urlMaps.create` `compute.urlMaps.use`	A pagamento ed eval	Configurazione del routing dell'accesso di base Nota: se utilizzi il rete Virtual Private Cloud (VPC) condivisa, vedi Accedere alle autorizzazioni di routing con VPC condiviso.

Autorizzazioni di routing con VPC condiviso

Se utilizzi il networking Virtual Private Cloud (VPC), tieni presente che la configurazione e il peering VPC condivisi devono essere completati prima di poter eseguire il passaggio di routing dell'accesso.

Una volta configurato correttamente il VPC condiviso, l'amministratore di Apigee richiede il ruolo compute.networkUser nel progetto VPC condiviso per completare i passaggi del routing di accesso. Consulta anche i ruoli amministrativi obbligatori per la rete VPC condivisa.