本頁內容適用於 Apigee 和 Apigee Hybrid。
查看
Apigee Edge 說明文件。
本頁列出使用及管理 Apigee Spaces 和 Space 資源時,所需的 Identity and Access Management 角色和權限。
使用「空間」時,請務必注意 IAM 角色和權限主要是在空間層級授予,且 Apigee 使用者只能查看及管理指派給空間的 API 資源子集。這與未使用「空間」的 Apigee 環境不同,在該環境中,授予 Apigee 使用者管理 API 資源的角色和權限,通常會啟用對該類型所有資源的存取權。
如要進一步瞭解使用 Spaces 時所需的預設角色和權限,請參閱下列章節:
建立及管理 Apigee Spaces 的角色和權限
IAM 新增了角色和權限,方便您在 Apigee 機構中,針對常見用途使用 Apigee Spaces,詳情請參閱以下各節。
Apigee Spaces 的預先定義角色
| 角色 | 說明 | 範圍 |
|---|---|---|
apigee.spaceContentEditor |
可完整存取能與空間建立關聯的資源。這個角色應在空間層級授予。 | Apigee Space |
apigee.spaceContentViewer |
可唯讀存取能與空間建立關聯的資源。這個角色應在空間層級授予。 | Apigee Space |
apigee.spaceConsoleUser |
提供使用 Google Cloud 控制台管理空間中資源所需的最低權限。 在 Google Cloud 專案層級授予,適用於有權存取該空間資源的使用者。 | Google Cloud 專案 |
如要允許聊天室成員管理該聊天室中的資源,請使用聊天室資源的 setIamPolicy 方法,將 apigee.spaceContentEditor 角色授予成員。詳情請參閱「
將機構成員新增至 Space」。
如要允許聊天室成員使用 Apigee UI 管理聊天室資源,請在 Google Cloud 專案中授予成員 apigee.spaceConsoleUser 角色。詳情請參閱「在控制台中查看 Space 資源 Google Cloud 」。
如果您有更複雜的情況,或想瞭解使用 Spaces 如何變更 IAM 權限階層,請參閱 Apigee Spaces 中的 IAM 權限階層。
建立及管理 Apigee Spaces 時所需的權限
我們在 IAM 中新增了權限,可供您建立及管理 Spaces,詳情請參閱下表。獲派 apigee.admin 角色的 Apigee 使用者,將擁有在 Apigee 機構中建立及管理空間的必要權限。
| 作業 | 權限不足 |
|---|---|
| 建立聊天室 | apigee.spaces.create |
| 更新 Space | apigee.spaces.update |
| 刪除聊天室 | apigee.spaces.delete |
| 取得聊天室詳細資料 | apigee.spaces.get |
| 列出 Apigee 機構中的所有 Space | apigee.spaces.list |
| 取得與 Space 相關聯的 IAM 政策 | apigee.spaces.getIamPolicy |
| 設定與 Space 相關聯的 IAM 政策 | apigee.spaces.setIamPolicy |
在 Google Cloud 控制台中查看 Space 資源
如要使用 Apigee UI 查看與 Spaces 相關聯的 API 資源,使用者必須獲派自訂角色:apigee.spaceConsoleUser。
如要進一步瞭解如何使用 UI 查看及管理 Spaces 中的 API 資源,請參閱「在 Apigee Spaces 中管理 API 資源」。
請確認已將這個自訂角色授予所有想在 Cloud Console 中使用 Apigee,查看及管理空間資源的使用者。如果使用者在 IAM 中尚未擁有 apigee.spaceConsoleUser 角色,請要求機構管理員為機構的 Google Cloud 專案新增該角色。
管理員可以使用下列指令建立角色:
gcloud iam roles create apigee.spaceConsoleUser \ --project="PROJECT_ID" \ --title="Apigee Space Console User" \ --description="Apigee Space Console User"\ --permissions="apigee.entitlements.get,apigee.organizations.get,apigee.organizations.list,apigee.projectorganizations.get,resourcemanager.projects.get,apigee.spaces.list,apigee.spaces.get,apigee.deployments.list,apigee.environments.list,apigee.environments.get,apigee.envgroups.list,apigee.envgroupattachments.list,apigee.instances.list,apigee.apps.list" \ --stage=GA
將 PROJECT_ID 替換為建立 Apigee 機構的專案名稱。 Google Cloud
在 Google Cloud 控制台使用 IAM 查看及指派角色
您可以在 Google Cloud 控制台使用 IAM,確認授予給 Space 成員和機構管理員的 Google Cloud 專案層級角色指派和權限。
如要檢查角色
-
前往 Google Cloud 控制台的「IAM」IAM頁面。
前往「IAM」頁面 - 選取專案。
-
在「主體」欄中,找出所有識別您或您所屬群組的資料列。如要瞭解自己所屬的群組,請與管理員聯絡。
- 針對指定或包含您的所有列,請檢查「角色」欄,確認角色清單是否包含必要角色。
如何授予角色
-
前往 Google Cloud 控制台的「IAM」IAM頁面。
前往 IAM - 選取專案。
- 按一下「授予存取權」。
-
在「New principals」(新增主體) 欄位中,輸入您的使用者 ID。 這通常是 Google 帳戶的電子郵件地址。
- 在「Select a role」(選取角色) 清單中,選取角色。
- 如要授予其他角色,請按一下 「新增其他角色」,然後新增每個其他角色。
- 按一下「儲存」。
如要查看在聊天室層級套用的 IAM 政策,請參閱「 管理聊天室中的成員和角色」。