Questa pagina si applica ad Apigee, ma non ad Apigee ibrido.
Visualizza la documentazione di Apigee Edge.
Questo documento descrive le autorizzazioni IAM di Google Cloud necessarie per eseguire correttamente il provisioning di Apigee.
Puoi specificare le autorizzazioni utilizzando quanto segue:
- Ruoli predefiniti: fornisci le autorizzazioni sufficienti per eseguire i passaggi di provisioning. I ruoli predefiniti possono concedere all'amministratore di Apigee più autorizzazioni di quelle necessarie per completare il provisioning.
- Ruoli personalizzati: fornisci i privilegi meno necessari per eseguire la procedura di provisioning.
Ruolo di proprietario del progetto Google Cloud
Il proprietario del progetto Google Cloud utilizzato per il provisioning di Apigee dispone già dell'autorizzazione per eseguire tutti i passaggi di provisioning di base di Apigee.
Se il provisioner Apigee non è il proprietario del progetto, utilizza questo documento per determinare le autorizzazioni necessarie per eseguire ciascuno dei passaggi di provisioning.
Se utilizzi il networking VPC (Shared Virtual Private Cloud), sono necessarie autorizzazioni aggiuntive nel progetto VPC condiviso. Questi casi sono riportati anche in questo documento.
Ruoli predefiniti
Se vuoi solo assicurarti che l'amministratore di Apigee disponga delle autorizzazioni sufficienti per completare il provisioning, assegna all'amministratore di Apigee i seguenti ruoli predefiniti IAM. Tuttavia, i ruoli predefiniti potrebbero concedere all'amministratore Apigee più autorizzazioni di quelle necessarie per completare il provisioning. Per fornire i privilegi meno necessari, consulta Autorizzazioni e ruoli personalizzati.
Come specificare un ruolo predefinito
Per aggiungere utenti e ruoli:
Nella console Google Cloud, vai a IAM e amministrazione > IAM per il tuo progetto.
- Per aggiungere un nuovo utente:
- Fai clic su Concedi accesso.
- Digita un nuovo nome Entità.
- Fai clic sul menu Seleziona un ruolo e digita il nome
del ruolo nel campo Filtro. Ad esempio,
Apigee Organization Admin
. Fai clic sul ruolo elencato nei risultati. - Fai clic su Salva.
- Per modificare un utente esistente:
- Fai clic su Modifica.
- Per modificare un ruolo esistente, fai clic sul menu Ruolo e seleziona un altro ruolo.
- Per aggiungere un altro ruolo, fai clic su Aggiungi un altro ruolo.
- Fai clic sul menu Seleziona un ruolo e digita il nome
del ruolo nel campo Filtro. Ad esempio,
Apigee Organization Admin
. Fai clic sul ruolo elencato nei risultati. - Fai clic su Salva.
Ruolo | Obbligatorio per i passaggi | Tipo di conto | Finalità |
---|---|---|---|
Amministratore organizzazione Apigeeapigee.admin |
|
A pagamento e valutazione | Concede l'accesso completo a tutte le funzionalità delle risorse Apigee. |
Amministratore Service Usageserviceusage.serviceUsageAdmin |
|
A pagamento e valutazione | Può abilitare, disabilitare e analizzare gli stati di servizio, ispezionare le operazioni e utilizzare la quota e la fatturazione per un progetto consumer. |
Amministratore Cloud KMScloudkms.admin |
|
Solo a pagamento | Creazione di chiavi e keyring Cloud KMS. |
Amministratore rete Computecompute.networkAdmin |
|
A pagamento e valutazione | Elenco delle regioni di computing, configurazione del networking di servizi e creazione del bilanciatore del carico HTTPS esterno. |
Ruoli e autorizzazioni personalizzati
Per fornire i privilegi meno necessari, crea un ruolo IAM personalizzato e assegna le autorizzazioni dalle sezioni seguenti.
Come specificare un ruolo personalizzato
Per aggiungere un ruolo personalizzato:
Nella console Google Cloud, vai a IAM e amministrazione > Ruoli per il tuo progetto.
- Per aggiungere un nuovo ruolo:
- Fai clic su Crea ruolo.
- Digita un nuovo Titolo.
- (Facoltativo) Digita una descrizione.
- Digita un ID.
- Seleziona una Fase di lancio del ruolo.
- Fai clic su Aggiungi autorizzazioni.
- Copia il testo dell'autorizzazione desiderato dalle tabelle di seguito e incollalo nel campo Filtro. Ad esempio,
apigee.environments.create
. - Premi Invio o fai clic su un elemento nei risultati.
- Seleziona la casella di controllo relativa all'elemento appena aggiunto.
- Fai clic su Aggiungi.
- Dopo aver aggiunto tutte le autorizzazioni per questo ruolo, fai clic su Crea.
- Per modificare un ruolo personalizzato esistente:
- Individua il ruolo personalizzato.
- Fai clic su Altro > Modifica.
- Apporta le modifiche che preferisci.
- Fai clic su Update (Aggiorna).
Autorizzazioni di gestione di Apigee basate sull'interfaccia utente
Questa autorizzazione è obbligatoria per tutti gli utenti che gestiranno un'organizzazione tramite l'UI di Apigee nella console Cloud. Includili in ruoli personalizzati che prevedono la gestione tramite questa interfaccia.
Ruolo | Tipo di conto | Finalità |
---|---|---|
apigee.projectorganizations.get |
A pagamento e valutazione |
|
Provisioning delle autorizzazioni
Queste autorizzazioni sono necessarie per avviare il provisioning di Apigee:
Ruolo | Tipo di conto | Finalità |
---|---|---|
apigee.entitlements.get apigee.environments.create apigee.environments.get apigee.environments.list apigee.envgroups.create apigee.envgroups.get apigee.envgroups.list apigee.envgroups.update apigee.envgroupattachments.create apigee.envgroupattachments.list apigee.instances.create apigee.instances.get apigee.instances.list apigee.instanceattachments.create apigee.instanceattachments.get apigee.instanceattachments.list apigee.operations.get apigee.operations.list apigee.organizations.create apigee.organizations.get apigee.organizations.update apigee.projectorganizations.get apigee.projects.update apigee.setupcontexts.get apigee.setupcontexts.update
|
A pagamento e valutazione |
|
Autorizzazioni di abilitazione delle API
Per abilitare le API Google Cloud sono necessarie le seguenti autorizzazioni:
Ruolo | Tipo di conto | Finalità |
---|---|---|
serviceusage.services.get serviceusage.services.enable |
A pagamento e valutazione | Abilitazione delle API Google Cloud |
Autorizzazioni di creazione dell'organizzazione (organizzazione a pagamento)
Queste autorizzazioni sono necessarie per creare un'organizzazione Apigee per gli account a pagamento (abbonamento o pagamento a consumo):
Autorizzazioni | Tipo di conto | Finalità |
---|---|---|
compute.regions.list |
Solo a pagamento | Selezione di una posizione di hosting per dati e analisi |
cloudkms.cryptoKeys.list cloudkms.locations.list cloudkms.keyRings.list
|
Solo a pagamento | Selezione di una chiave di crittografia del database di runtime |
cloudkms.cryptoKeys.create cloudkms.keyRings.create |
Solo a pagamento | Creazione di una chiave di crittografia del database di runtime |
cloudkms.cryptoKeys.getIamPolicy cloudkms.cryptoKeys.setIamPolicy |
Solo a pagamento | Concessione dell'autorizzazione all'account di servizio Apigee per utilizzare una chiave di crittografia |
Autorizzazioni di creazione dell'organizzazione (eval org)
Questa autorizzazione è necessaria per selezionare le regioni di analisi e hosting del runtime per un'organizzazione di valutazione:
Autorizzazioni | Tipo di conto | Finalità |
---|---|---|
compute.regions.list |
Solo organizzazioni di valutazione | Selezione delle regioni di hosting di analisi e runtime |
Autorizzazioni del networking dei servizi
Queste autorizzazioni sono necessarie nei passaggi di configurazione del networking di servizi. Se utilizzi il networking VPC condiviso, consulta Autorizzazioni di networking dei servizi con VPC condiviso.
Autorizzazioni | Tipo di conto | Finalità |
---|---|---|
compute.globalAddresses.createInternal compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.networks.get
compute.networks.list
compute.networks.use
compute.projects.get
servicenetworking.operations.get
servicenetworking.services.addPeering
servicenetworking.services.get
|
A pagamento e valutazione | Queste autorizzazioni sono necessarie per eseguire le attività nel passaggio di configurazione del networking dei servizi. |
Autorizzazioni di networking dei servizi con VPC condiviso
Se utilizzi il networking VPC condiviso, un utente con privilegi amministrativi nel progetto VPC condiviso deve eseguire il peering del progetto VPC condiviso con Apigee, come descritto in Utilizzo delle reti VPC condivise. Il peering deve essere completato prima che l'amministratore di Apigee possa completare i passaggi del networking di servizio. Vedi anche Amministratori e IAM.
Una volta configurato correttamente il VPC condiviso, l'amministratore di Apigee ha bisogno di queste autorizzazioni per completare i passaggi di configurazione del networking di servizi:
Autorizzazioni | Tipo di conto | Finalità |
---|---|---|
compute.projects.get
|
A pagamento e valutazione | L'amministratore di Apigee deve avere questa autorizzazione nel progetto in cui è installato Apigee. Questa autorizzazione consente all'amministratore di visualizzare l'ID progetto host del VPC condiviso. |
Ruolo Utente di rete Compute ( compute.networkUser ) |
A pagamento e valutazione | È necessario concedere questo ruolo all'amministratore di Apigee nel progetto host del VPC condiviso. Questo ruolo consente all'amministratore di visualizzare e selezionare la rete VPC condiviso nell'interfaccia utente di provisioning di Apigee. |
Autorizzazioni per le istanze di runtime
Queste autorizzazioni sono necessarie per creare un'istanza di runtime (solo account con abbonamento e pagamento a consumo):
Autorizzazioni | Tipo di conto | Finalità |
---|---|---|
compute.regions.list |
Solo a pagamento | Selezione di una posizione di hosting di runtime |
cloudkms.cryptoKeys.list cloudkms.locations.list cloudkms.keyRings.list
|
Solo a pagamento | Selezione di una chiave di crittografia del disco di runtime |
cloudkms.cryptoKeys.create cloudkms.keyRings.create |
Solo a pagamento | Creazione di una chiave di crittografia del disco di runtime |
cloudkms.cryptoKeys.getIamPolicy cloudkms.cryptoKeys.setIamPolicy |
Solo a pagamento | Concessione dell'autorizzazione all'account di servizio Apigee per utilizzare una chiave di crittografia |
Autorizzazioni di routing degli accessi
Queste autorizzazioni sono necessarie per la procedura di routing degli accessi:
Autorizzazioni | Tipo di conto | Finalità |
---|---|---|
compute.autoscalers.create compute.backendServices.create compute.backendServices.use compute.disks.create compute.globalAddresses.create compute.globalAddresses.get compute.globalAddresses.list compute.globalAddresses.use compute.globalForwardingRules.create compute.globalOperations.get compute.firewalls.create compute.firewalls.get compute.healthChecks.create compute.healthChecks.useReadOnly compute.images.get compute.images.useReadOnly compute.instances.create compute.instances.setMetadata compute.instanceGroups.use compute.instanceGroupManagers.create compute.instanceGroupManagers.use compute.instanceTemplates.get compute.instanceTemplates.create compute.instanceTemplates.useReadOnly compute.networks.get compute.networks.list compute.networks.updatePolicy compute.networks.use compute.regionOperations.get compute.regionNetworkEndpointGroups.create compute.regionNetworkEndpointGroups.use compute.sslCertificates.create compute.sslCertificates.get compute.subnetworks.get compute.subnetworks.list compute.subnetworks.setPrivateIpGoogleAccess compute.subnetworks.use compute.targetHttpsProxies.create compute.targetHttpsProxies.use compute.urlMaps.create compute.urlMaps.use
|
A pagamento e valutazione | Configurazione del routing degli accessi di base |
Accedi alle autorizzazioni di routing con un VPC condiviso
Se utilizzi networking VPC (Virtual Private Cloud) condiviso, tieni presente che è necessario completare la configurazione e il peering del VPC condiviso prima di poter eseguire il passaggio di routing dell'accesso.
Dopo aver configurato correttamente il VPC condiviso, l'amministratore di Apigee richiede il ruolo
compute.networkUser
nel progetto VPC condiviso per completare i passaggi di routing dell'accesso. Vedi anche
Ruoli amministrativi obbligatori per il VPC condiviso.