Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni sulle autorizzazioni di provisioning di Apigee

Questa pagina si applica ad Apigee, ma non ad Apigee hybrid.

Visualizza la documentazione di Apigee Edge.

Questo documento descrive le autorizzazioni Google Cloud IAM necessarie per eseguire il provisioning di Apigee.

Puoi specificare le autorizzazioni utilizzando quanto segue:

Ruoli predefiniti:Forniscono autorizzazioni sufficienti per eseguire i passaggi di provisioning. I ruoli predefiniti potrebbero concedere all'amministratore Apigee più autorizzazioni di quelle necessarie per completare il provisioning.
Ruoli personalizzati:forniscono il privilegio minimo necessario per eseguire i passaggi di provisioning.

Ruolo proprietario progetto Google Cloud

Il proprietario del progetto Google Cloud utilizzato per il provisioning di Apigee dispone già dell'autorizzazione per eseguire tutti i passaggi di base del provisioning di Apigee.

Se il provisioner Apigee non è il proprietario del progetto, utilizza questo documento per determinare le autorizzazioni necessarie per eseguire ogni passaggio del provisioning.

Se utilizzi il networking Virtual Private Cloud (VPC) condiviso, sono necessarie autorizzazioni aggiuntive nel progetto VPC condiviso e questi casi sono indicati anche in questo documento.

Ruoli predefiniti

Se vuoi solo assicurarti che l'amministratore Apigee disponga di autorizzazioni sufficienti per completare il provisioning, concedigli i seguenti ruoli predefiniti IAM. Tuttavia, i ruoli predefiniti potrebbero concedere all'amministratore Apigee più autorizzazioni di quelle necessarie per completare il provisioning. Consulta la sezione Ruoli e autorizzazioni personalizzati per fornire i privilegi minimi necessari.

Come specificare un ruolo predefinito

Per aggiungere utenti e ruoli:

Nella console Google Cloud , vai a IAM e amministrazione > IAM per il tuo progetto.

Vai alla pagina IAM/Iam
Per aggiungere un nuovo utente:
1. Fai clic su Concedi accesso.
2. Digita un nuovo nome per l'entità.
3. Fai clic sul menu Seleziona un ruolo e poi digita il nome del ruolo nel campo Filtro. Ad esempio, Apigee Organization Admin. Fai clic sul ruolo elencato nei risultati.
4. Fai clic su Salva.
Per modificare un utente esistente:
1. Fai clic su Modifica.
2. Per modificare un ruolo esistente, fai clic sul menu Ruolo e poi seleziona un ruolo diverso.
3. Per aggiungere un altro ruolo, fai clic su Aggiungi un altro ruolo.
4. Fai clic sul menu Seleziona un ruolo e poi digita il nome del ruolo nel campo Filtro. Ad esempio, Apigee Organization Admin. Fai clic sul ruolo elencato nei risultati.
5. Fai clic su Salva.

Ruolo	Obbligatorio per i passi	Tipo di account	Finalità
Amministratore organizzazione Apigee `apigee.admin`	Avvia il provisioning di Apigee Crea un'organizzazione Creazione di un ambiente Crea un'istanza Apigee	A pagamento e valutazione	Concede l'accesso completo a tutte le funzionalità delle risorse Apigee.
Amministratore Service Usage `serviceusage.serviceUsageAdmin`	Abilita API	A pagamento e valutazione	Può abilitare, disabilitare e analizzare gli stati dei servizi, analizzare le operazioni e utilizzare la quota e la fatturazione per un progetto consumer.
Amministratore Cloud KMS `cloudkms.admin`	Crea un'organizzazione Configurare un'istanza di runtime	Solo a pagamento	Creazione di chiavi e keyring Cloud KMS.
Amministratore Compute `compute.admin`	Crea un'organizzazione Configurare un'istanza di runtime Configura il networking di servizi Configura il routing dell'accesso (per creare il bilanciatore del carico HTTPS esterno)	A pagamento e valutazione	Elenco delle regioni di Compute, configurazione del networking di servizio e creazione del bilanciatore del carico HTTPS esterno.

Ruoli e autorizzazioni personalizzati

Per fornire i privilegi minimi necessari, crea un ruolo personalizzato IAM e assegna le autorizzazioni dalle sezioni seguenti.

Come specificare un ruolo personalizzato

Per aggiungere un ruolo personalizzato:

Nella console Google Cloud , vai a IAM e amministrazione > Ruoli per il tuo progetto.

Vai alla pagina IAM e amministrazione/Ruoli
Per aggiungere un nuovo ruolo:
1. Fai clic su Crea ruolo.
2. Digita un nuovo Titolo.
3. (Facoltativo) Digita una descrizione.
4. Digita un ID.
5. Seleziona una Fase di avvio del ruolo.
6. Fai clic su Aggiungi autorizzazioni.
7. Copia il testo dell'autorizzazione che ti interessa dalle tabelle riportate di seguito e incollalo nel campo Filtro. Ad esempio, apigee.environments.create.
8. Premi Invio o fai clic su un elemento nei risultati.
9. Seleziona la casella di controllo relativa all'elemento appena aggiunto.
10. Fai clic su Aggiungi.
  Nota:per aggiungere più autorizzazioni contemporaneamente:
  - Seleziona l'operatore OR tra ogni autorizzazione man mano che le aggiungi oppure
  - Cerca una stringa di autorizzazione parziale, ad esempio apigee.environments, seleziona più caselle di controllo e poi fai clic su Salva.
11. Dopo aver aggiunto tutte le autorizzazioni per questo ruolo, fai clic su Crea.
Per modificare un ruolo personalizzato esistente:
1. Individua il ruolo personalizzato.
2. Fai clic su Altro > Modifica.
3. Apporta le modifiche che preferisci.
4. Fai clic su Aggiorna.

Autorizzazioni di gestione Apigee basate sulla UI

Questa autorizzazione è necessaria per tutti gli utenti che gestiranno un'organizzazione tramite l'interfaccia utente Apigee nella console Google Cloud. Includilo nei ruoli personalizzati che prevedono la gestione tramite questa interfaccia.

Ruolo	Tipo di account	Finalità
`apigee.projectorganizations.get`	A pagamento e valutazione	Esegui qualsiasi azione tramite l'interfaccia utente Apigee nella console Cloud.

Provisioning delle autorizzazioni

Queste autorizzazioni sono necessarie per avviare il provisioning di Apigee:

Ruolo	Tipo di account	Finalità
`apigee.entitlements.get` `apigee.environments.create` `apigee.environments.get` `apigee.environments.list` `apigee.envgroups.create` `apigee.envgroups.get` `apigee.envgroups.list` `apigee.envgroups.update` `apigee.envgroupattachments.create` `apigee.envgroupattachments.list` `apigee.instances.create` `apigee.instances.get` `apigee.instances.list` `apigee.instanceattachments.create` `apigee.instanceattachments.get` `apigee.instanceattachments.list` `apigee.operations.get` `apigee.operations.list` `apigee.organizations.create` `apigee.organizations.get` `apigee.organizations.update` `apigee.projectorganizations.get` `apigee.projects.update` `apigee.setupcontexts.get` `apigee.setupcontexts.update`	A pagamento e valutazione	Avvia il provisioning di Apigee Crea un'organizzazione Creazione di un ambiente Crea un'istanza Apigee

Autorizzazioni di abilitazione delle API

Queste autorizzazioni sono necessarie per abilitare le API Google Cloud:

Ruolo	Tipo di account	Finalità
`serviceusage.services.get` `serviceusage.services.enable`	A pagamento e valutazione	Abilitazione delle API Google Cloud

Autorizzazioni di creazione dell'organizzazione (organizzazione a pagamento)

Queste autorizzazioni sono necessarie per creare un'organizzazione Apigee per gli account a pagamento (in abbonamento o con pagamento a consumo):

Autorizzazioni	Tipo di account	Finalità
`compute.regions.list`	Solo a pagamento	Selezione di una località di hosting di Analytics
`cloudkms.cryptoKeys.list` `cloudkms.locations.list` `cloudkms.keyRings.list`	Solo a pagamento	Selezionare una chiave di crittografia del database di runtime
`cloudkms.cryptoKeys.create` `cloudkms.keyRings.create`	Solo a pagamento	Creazione di una chiave di crittografia del database di runtime
`cloudkms.cryptoKeys.getIamPolicy` `cloudkms.cryptoKeys.setIamPolicy`	Solo a pagamento	Concessione dell'autorizzazione all'account di servizio Apigee per utilizzare una chiave di crittografia

Autorizzazioni di creazione dell'organizzazione (organizzazione di valutazione)

Questa autorizzazione è necessaria per selezionare le regioni di hosting di Analytics e runtime per un'organizzazione di valutazione:

Autorizzazioni	Tipo di account	Finalità
`compute.regions.list`	Solo organizzazioni di valutazione	Selezione delle regioni di hosting di analisi e runtime

Autorizzazioni di service networking

Queste autorizzazioni sono necessarie nei passaggi di configurazione del servizio di rete. Se utilizzi il networking VPC condiviso, consulta Autorizzazioni di servizio di rete con VPC condiviso.

Autorizzazioni	Tipo di account	Finalità
`compute.globalAddresses.createInternal` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalAddresses.use` `compute.networks.get` `compute.networks.list` `compute.networks.use` `compute.projects.get` `servicenetworking.operations.get` `servicenetworking.services.addPeering` `servicenetworking.services.get`	A pagamento e valutazione	Queste autorizzazioni sono necessarie per eseguire le attività nel passaggio di configurazione del servizio di rete. Nota: se utilizzi il networking Virtual Private Cloud (VPC) condiviso, consulta Autorizzazioni di servizio di rete con VPC condiviso.

Autorizzazioni di service networking con VPC condiviso

Se utilizzi il networking Virtual Private Cloud (VPC) condiviso, un utente con privilegi amministrativi nel progetto VPC condiviso deve eseguire il peering del progetto VPC condiviso con Apigee, come descritto in Utilizzo delle reti VPC condivise. Il peering deve essere completato prima che l'amministratore di Apigee possa completare i passaggi di servizio di rete. Vedi anche Amministratori e IAM.

Quando il VPC condiviso è configurato correttamente, l'amministratore Apigee ha bisogno di queste autorizzazioni per completare i passaggi di configurazione del servizio di networking:

Autorizzazioni	Tipo di account	Finalità
`compute.projects.get`	A pagamento e valutazione	L'amministratore Apigee deve disporre di questa autorizzazione nel progetto in cui è installato Apigee. Questa autorizzazione consente all'amministratore di visualizzare l'ID progetto host della VPC condiviso.
Ruolo Utente di rete Compute (`compute.networkUser`)	A pagamento e valutazione	L'amministratore Apigee deve disporre di questo ruolo nel progetto host del VPC condiviso. Questo ruolo consente all'amministratore di visualizzare e selezionare la rete VPC condiviso nell'interfaccia utente di provisioning di Apigee.

Autorizzazioni di runtime dell'istanza

Queste autorizzazioni sono necessarie per creare un'istanza di runtime (solo account con abbonamento e con pagamento a consumo):

Autorizzazioni	Tipo di account	Finalità
`compute.regions.list`	Solo a pagamento	Selezionare una località di hosting del runtime
`cloudkms.cryptoKeys.list` `cloudkms.locations.list` `cloudkms.keyRings.list`	Solo a pagamento	Selezionare una chiave di crittografia del disco del runtime
`cloudkms.cryptoKeys.create` `cloudkms.keyRings.create`	Solo a pagamento	Creazione di una chiave di crittografia del disco di runtime
`cloudkms.cryptoKeys.getIamPolicy` `cloudkms.cryptoKeys.setIamPolicy`	Solo a pagamento	Concessione dell'autorizzazione all'account di servizio Apigee per utilizzare una chiave di crittografia

Autorizzazioni di routing dell'accesso

Queste autorizzazioni sono necessarie per i passaggi di routing dell'accesso:

Autorizzazioni	Tipo di account	Finalità
`compute.autoscalers.create` `compute.backendServices.create` `compute.backendServices.use` `compute.disks.create` `compute.globalAddresses.create` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalAddresses.use` `compute.globalForwardingRules.create` `compute.globalOperations.get` `compute.firewalls.create` `compute.firewalls.get` `compute.healthChecks.create` `compute.healthChecks.useReadOnly` `compute.images.get` `compute.images.useReadOnly` `compute.instances.create` `compute.instances.setMetadata` `compute.instanceGroups.use` `compute.instanceGroupManagers.create` `compute.instanceGroupManagers.use` `compute.instanceTemplates.get` `compute.instanceTemplates.create` `compute.instanceTemplates.useReadOnly` `compute.networks.get` `compute.networks.list` `compute.networks.updatePolicy` `compute.networks.use` `compute.regionOperations.get` `compute.regionNetworkEndpointGroups.create` `compute.regionNetworkEndpointGroups.delete` `compute.regionNetworkEndpointGroups.use` `compute.sslCertificates.create` `compute.sslCertificates.get` `compute.subnetworks.get` `compute.subnetworks.list` `compute.subnetworks.setPrivateIpGoogleAccess` `compute.subnetworks.use` `compute.targetHttpsProxies.create` `compute.targetHttpsProxies.use` `compute.urlMaps.create` `compute.urlMaps.use`	A pagamento e valutazione	Configurazione del routing di accesso di base Nota: se utilizzi il networking Virtual Private Cloud (VPC) condiviso, consulta Autorizzazioni di routing di accesso con VPC condiviso.

Autorizzazioni di routing dell'accesso con il VPC condiviso

Se utilizzi il networking Virtual Private Cloud (VPC) condiviso, tieni presente che la configurazione e il peering VPC condivisi devono essere completati prima di poter eseguire il passaggio di routing dell'accesso.

Dopo aver configurato correttamente il VPC condiviso, l'amministratore Apigee richiede il ruolo compute.networkUser nel progetto VPC condiviso per completare i passaggi di routing dell'accesso. Vedi anche Ruoli amministrativi richiesti per il VPC condiviso.