Apigee プロビジョニング権限について

このページの内容は Apigee に適用されます。Apigee ハイブリッドには適用されません。

Apigee Edge のドキュメントを表示する。

このドキュメントでは、Apigee を正常にプロビジョニングするために必要な Google Cloud IAM の権限について説明します。

権限を指定するには、次のロールを使用します。

事前定義ロール: プロビジョニング手順を実施するのに十分な権限を提供します。事前定義ロールでは、プロビジョニングを完了するために必要な範囲を超える権限が Apigee 管理者に付与される場合があります。
カスタムロール: プロビジョニング手順に必要な最小限の権限を付与します。

Google Cloud プロジェクトオーナーのロール

Apigee のプロビジョニングに使用される Google Cloud プロジェクトのオーナーには、Apigee の基本的なプロビジョニング手順をすべて実行するための権限がすでに付与されています。

Apigee プロビジョナーがプロジェクトオーナーでない場合は、このドキュメントを使用して、プロビジョニングの各ステップを実施するために必要な権限を確認します。

共有 Virtual Private Cloud（VPC）ネットワーキングを使用する場合は、共有 VPC プロジェクトで追加の権限が必要です。これらのケースについても、このドキュメントに記載しています。

事前定義ロール

Apigee 管理者にプロビジョニングを完了できる十分な権限を与えるだけの場合は、Apigee 管理者に次の IAM 事前定義ロールを付与します。ただし、事前定義ロールでは、Apigee 管理者にプロビジョニングを完了するのに必要な範囲を超える権限が付与される場合があります。必要最小限の権限を付与するには、カスタムロールと権限をご覧ください。

事前定義ロールの指定方法

ユーザーとロールを追加するには:

Google Cloud コンソールで、プロジェクトの [IAM と管理] > [IAM] に移動します。

[IAM] / [Iam] ページに移動
新しいユーザーを追加するには:
1. [アクセス権を付与] をクリックします。
2. 新しいプリンシパル名を入力します。
3. [ロールを選択] メニューをクリックして、[フィルタ] フィールドにロール名を入力します。たとえば Apigee Organization Admin です。結果にリストされているロールをクリックします。
4. [保存] をクリックします。
既存のユーザーを編集するには:
1. [ 編集] をクリックします。
2. 既存のロールを変更するには、[ロール] メニューをクリックし、別のロールを選択します。
3. 別のロールを追加する場合は、[別のロールを追加] をクリックします。
4. [ロールを選択] メニューをクリックして、[フィルタ] フィールドにロール名を入力します。たとえば Apigee Organization Admin です。結果にリストされているロールをクリックします。
5. [保存] をクリックします。

ロール	必要とするステップ	アカウントの種類	目的
Apigee 組織管理者 `apigee.admin`	Apigee のプロビジョニングを開始する組織を作成する環境を作成する Apigee インスタンスを作成する	有料組織と評価組織	すべての Apigee リソース機能に対する完全アクセス権を付与する。
Service Usage 管理者 `serviceusage.serviceUsageAdmin`	API を有効にする	有料組織と評価組織	サービス状態の有効化、無効化、検査、オペレーションの検査、コンシューマプロジェクトの割り当てと課金の利用が可能。
Cloud KMS 管理者 `cloudkms.admin`	組織を作成するランタイムインスタンスを構成する	有料組織のみ	Cloud KMS 鍵とキーリングを作成する。
Compute ネットワーク管理者 `compute.networkAdmin`	組織を作成するランタイムインスタンスを構成するサービスネットワーキングを構成するアクセスルーティングを構成する（外部 HTTPS ロードバランサを作成するため）	有料組織と評価組織	コンピューティングリージョンの一覧表示、サービスネットワーキングの設定、外部 HTTPS ロードバランサの作成を行う。

カスタムロールと権限

必要最小限の権限を付与するには、IAM カスタムロールを作成し、以降のセクションに示す権限を割り当てます。

カスタムロールの指定方法

カスタムロールを追加するには:

Google Cloud コンソールで、プロジェクトの [IAM と管理] > [ロール] に移動します。

[IAM と管理] / [ロール] ページに移動
新しいロールを追加するには:
1. [ロールの作成] をクリックします。
2. 新しいタイトルを入力します。
3. 説明を入力します（省略可）。
4. ID を入力します。
5. ロールのリリース段階を選択します。
6. [権限を追加] をクリックします。
7. 次の表から目的の権限テキストをコピーし、[フィルタ] フィールドに貼り付けます。たとえば apigee.environments.create です。
8. Enter キーを押すか、結果でアイテムをクリックします。
9. 追加したアイテムのチェックボックスをオンにします。
10. [追加] をクリックします。
  注: 複数の権限を一括で追加するには:
  - 権限を追加するたびに OR 演算子を選択しながら、複数の権限を追加します。
  - 権限文字列の一部（例: apigee.environments）を検索し、複数のチェックボックスをオンにして [保存] をクリックします。
11. このロールのすべての権限を追加したら、[作成] をクリックします。
既存のカスタムロールを編集するには:
1. カスタムロールを見つけます。
2. （その他）アイコン > [編集] をクリックします。
3. 必要な変更を行います。
4. [更新] をクリックします。

UI ベースで Apigee を管理するための権限

この権限は、Cloud コンソールの Apigee UI で組織を管理するすべてのユーザーに必要です。このインターフェースを使用して管理を行うカスタムロールに、この権限を含めてください。

ロール	アカウントの種類	目的
`apigee.projectorganizations.get`	有料組織と評価組織	Cloud コンソールの Apigee UI を使用して作業を行います。

プロビジョニングのための権限

Apigee のプロビジョニングを開始するには、以下の権限が必要です。

ロール	アカウントの種類	目的
`apigee.entitlements.get` `apigee.environments.create` `apigee.environments.get` `apigee.environments.list` `apigee.envgroups.create` `apigee.envgroups.get` `apigee.envgroups.list` `apigee.envgroups.update` `apigee.envgroupattachments.create` `apigee.envgroupattachments.list` `apigee.instances.create` `apigee.instances.get` `apigee.instances.list` `apigee.instanceattachments.create` `apigee.instanceattachments.get` `apigee.instanceattachments.list` `apigee.operations.get` `apigee.operations.list` `apigee.organizations.create` `apigee.organizations.get` `apigee.organizations.update` `apigee.projectorganizations.get` `apigee.projects.update` `apigee.setupcontexts.get` `apigee.setupcontexts.update`	有料組織と評価組織	Apigee のプロビジョニングを開始する組織を作成する環境を作成する Apigee インスタンスを作成する

API 有効化のための権限

Google Cloud APIs を有効にするには、以下の権限が必要です。

ロール	アカウントの種類	目的
`serviceusage.services.get` `serviceusage.services.enable`	有料組織と評価組織	Google Cloud APIs の有効化

組織作成のための権限（有料組織）

有料アカウント（サブスクリプションまたは従量課金制）の Apigee 組織を作成するには、以下の権限が必要です。

権限	アカウントの種類	目的
`compute.regions.list`	有料組織のみ	アナリティクスホスティングロケーションを選択する
`cloudkms.cryptoKeys.list` `cloudkms.locations.list` `cloudkms.keyRings.list`	有料組織のみ	ランタイムデータベースの暗号鍵を選択する
`cloudkms.cryptoKeys.create` `cloudkms.keyRings.create`	有料組織のみ	ランタイムデータベースの暗号鍵を作成する
`cloudkms.cryptoKeys.getIamPolicy` `cloudkms.cryptoKeys.setIamPolicy`	有料組織のみ	Apigee サービスアカウントに暗号鍵を使用するための権限を付与する

組織作成のための権限（評価組織）

この権限は、評価組織のアナリティクスとランタイムのホスティングリージョンを選択するために必要です。

権限	アカウントの種類	目的
`compute.regions.list`	評価組織のみ	アナリティクスとランタイムのホスティングリージョンを選択する

サービスネットワーキングの権限

これらの権限は、サービスネットワーキングの構成手順で必要です。共有 VPC ネットワーキングを使用している場合は、共有 VPC を使用したサービスネットワーキングの権限をご覧ください。

権限	アカウントの種類	目的
`compute.globalAddresses.createInternal` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalAddresses.use` `compute.networks.get` `compute.networks.list` `compute.networks.use` `compute.projects.get` `servicenetworking.operations.get` `servicenetworking.services.addPeering` `servicenetworking.services.get`	有料組織と評価組織	これらの権限は、サービスネットワーキング構成手順のタスクを実行するために必要です。注: 共有 Virtual Private Cloud（VPC）ネットワーキングを使用している場合は、共有 VPC を使用したサービスネットワーキングの権限をご覧ください。

共有 VPC を使用したサービスネットワーキングの権限

共有 Virtual Private Cloud（VPC）ネットワーキングを使用している場合、共有 VPC プロジェクトで管理者権限を持つユーザーは、共有 VPC プロジェクトと Apigee をピアリングする必要があります。詳細については、共有 VPC ネットワークの使用をご覧ください。Apigee 管理者がサービスネットワーキングの手順を完了するには、ピアリングを完了しておく必要があります。管理者と IAM もご覧ください。

共有 VPC が正しく設定されている場合、Apigee 管理者がサービスネットワーキングの構成手順を完了するには、以下の権限が必要です。

権限	アカウントの種類	目的
`compute.projects.get`	有料組織と評価組織	Apigee 管理者は、Apigee がインストールされているプロジェクトでこの権限を持っている必要があります。この権限により、管理者は共有 VPC ホストプロジェクト ID を確認できます。
Compute ネットワークユーザーのロール（`compute.networkUser`）	有料組織と評価組織	Apigee 管理者には、共有 VPC ホストプロジェクト内でこのロールが付与されている必要があります。このロールにより、管理者は Apigee プロビジョニング UI で共有 VPC ネットワークを表示および選択できます。

ランタイムインスタンスの権限

以下の権限は、ランタイムインスタンスを作成するために必要です（サブスクリプションアカウントと従量課金制アカウントのみ）。

権限	アカウントの種類	目的
`compute.regions.list`	有料組織のみ	ランタイムホスティングロケーションを選択する
`cloudkms.cryptoKeys.list` `cloudkms.locations.list` `cloudkms.keyRings.list`	有料組織のみ	ランタイムディスク暗号鍵を選択する
`cloudkms.cryptoKeys.create` `cloudkms.keyRings.create`	有料組織のみ	ランタイムディスク暗号鍵を作成する
`cloudkms.cryptoKeys.getIamPolicy` `cloudkms.cryptoKeys.setIamPolicy`	有料組織のみ	Apigee サービスアカウントに暗号鍵を使用するための権限を付与する

アクセスルーティングの権限

アクセスルーティングの手順には、以下の権限が必要です。

権限	アカウントの種類	目的
`compute.autoscalers.create` `compute.backendServices.create` `compute.backendServices.use` `compute.disks.create` `compute.globalAddresses.create` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalAddresses.use` `compute.globalForwardingRules.create` `compute.globalOperations.get` `compute.firewalls.create` `compute.firewalls.get` `compute.healthChecks.create` `compute.healthChecks.useReadOnly` `compute.images.get` `compute.images.useReadOnly` `compute.instances.create` `compute.instances.setMetadata` `compute.instanceGroups.use` `compute.instanceGroupManagers.create` `compute.instanceGroupManagers.use` `compute.instanceTemplates.get` `compute.instanceTemplates.create` `compute.instanceTemplates.useReadOnly` `compute.networks.get` `compute.networks.list` `compute.networks.updatePolicy` `compute.networks.use` `compute.regionOperations.get` `compute.regionNetworkEndpointGroups.create` `compute.regionNetworkEndpointGroups.use` `compute.sslCertificates.create` `compute.sslCertificates.get` `compute.subnetworks.get` `compute.subnetworks.list` `compute.subnetworks.setPrivateIpGoogleAccess` `compute.subnetworks.use` `compute.targetHttpsProxies.create` `compute.targetHttpsProxies.use` `compute.urlMaps.create` `compute.urlMaps.use`	有料組織と評価組織	基本アクセスルーティングを構成する注: 共有 Virtual Private Cloud（VPC）ネットワーキングを使用している場合は、共有 VPC を使用したアクセスルーティングの権限をご覧ください。

共有 VPC を使用したアクセスルーティングの権限

共有 Virtual Private Cloud（VPC）ネットワーキングを使用している場合は、アクセスルーティングの手順を行う前に、共有 VPC の構成とピアリングを完了しておく必要があります。

共有 VPC の設定が完了したら、Apigee 管理者には、アクセスルーティングの手順を完了するために共有 VPC プロジェクトでの compute.networkUser ロールが必要です。共有 VPC に必要な管理者のロールもご覧ください。