Papéis e permissões do Apigee Spaces

Esta página se aplica à Apigee e à Apigee híbrida.

Confira a documentação da Apigee Edge.

Nesta página, listamos os papéis e as permissões do Identity and Access Management necessários para usar e gerenciar os espaços da Apigee e os recursos do espaço.

Ao usar o Spaces, é importante observar que os papéis e as permissões do IAM são concedidos principalmente no nível do espaço e permitem que os usuários do Apigee vejam e gerenciem apenas o subconjunto de recursos de API atribuídos ao espaço. Essa é uma mudança de comportamento em relação aos contextos da Apigee em que os espaços não são usados. Os papéis e as permissões concedidos aos usuários da Apigee para o gerenciamento de recursos de API geralmente permitem o acesso a todos os recursos desse tipo.

Para saber mais sobre as funções e permissões padrão necessárias ao usar os espaços, consulte as seções a seguir:

Funções e permissões para criar e gerenciar o Apigee Spaces

Novos papéis e permissões foram adicionados ao IAM para facilitar o uso do Apigee Spaces em organizações da Apigee em casos de uso comuns, conforme mostrado nas seções a seguir.

Papéis predefinidos para o Apigee Spaces

Papel Descrição Escopo
apigee.spaceContentEditor Dá acesso total a recursos que podem ser associados a um espaço. Esse papel precisa ser concedido no nível do espaço. Espaço do Apigee
apigee.spaceContentViewer Fornece acesso somente leitura a recursos que podem ser associados a um espaço. Esse papel precisa ser concedido no nível do espaço. Espaço do Apigee
apigee.spaceConsoleUser Fornece as permissões mínimas necessárias para gerenciar recursos em um espaço usando o console Google Cloud . Concedida no nível do projeto Google Cloud para usuários com acesso a recursos nesse espaço. Google Cloud projeto

Para permitir que os participantes do espaço gerenciem recursos nele, use o método setIamPolicy em um recurso de espaço para conceder a função apigee.spaceContentEditor ao participante. Para mais informações, consulte Adicionar um membro da organização a um espaço.

Para permitir que os membros do espaço usem a interface da Apigee para gerenciar recursos do espaço, conceda a eles o papel apigee.spaceConsoleUser no projeto Google Cloud . Para mais informações, consulte Ver recursos do espaço no console do Google Cloud .

Se você tiver um cenário mais complexo ou quiser entender como o uso do Spaces muda a hierarquia de permissões do IAM, consulte Hierarquia de permissões do IAM no Apigee Spaces.

Permissões necessárias para criar e gerenciar o Apigee Spaces

Novas permissões foram adicionadas ao IAM para permitir a criação e o gerenciamento de espaços, conforme descrito na tabela a seguir. Os usuários da Apigee atribuídos à função apigee.admin terão as permissões necessárias para criar e gerenciar um espaço em uma organização da Apigee.

Operação Permissão necessária
Criar um espaço apigee.spaces.create
Atualizar um espaço apigee.spaces.update
Excluir um espaço apigee.spaces.delete
Conferir detalhes de um espaço apigee.spaces.get
Listar todos os espaços em uma organização da Apigee apigee.spaces.list
Acessar a política do IAM associada a um espaço apigee.spaces.getIamPolicy
Definir a política do IAM associada a um espaço apigee.spaces.setIamPolicy

Ver recursos de espaço no console do Google Cloud

Para acessar os recursos de API associados aos espaços usando a interface da Apigee, os usuários precisam receber uma função personalizada: apigee.spaceConsoleUser.

Para mais informações sobre como usar a UI para visualizar e gerenciar recursos de API no Spaces, consulte Gerenciar recursos de API no Apigee Spaces.

Verifique se esse papel personalizado é concedido a qualquer usuário que queira usar a Apigee no console do Cloud para conferir e gerenciar os recursos do Espaço. Se o papel apigee.spaceConsoleUser ainda não estiver disponível no IAM para seus usuários, peça ao administrador da organização para adicionar o papel ao projeto Google Cloud da organização.

O administrador pode criar a função usando o seguinte comando: 

gcloud iam roles create apigee.spaceConsoleUser \
  --project="PROJECT_ID" \
  --title="Apigee Space Console User" \
  --description="Apigee Space Console User"\
  --permissions="apigee.entitlements.get,apigee.organizations.get,apigee.organizations.list,apigee.projectorganizations.get,resourcemanager.projects.get,apigee.spaces.list,apigee.spaces.get,apigee.deployments.list,apigee.environments.list,apigee.environments.get,apigee.envgroups.list,apigee.envgroupattachments.list,apigee.instances.list,apigee.apps.list" \
  --stage=GA

Substitua PROJECT_ID pelo nome do projeto Google Cloud em que a organização da Apigee foi criada.

Conferir e atribuir papéis usando o IAM no console Google Cloud

É possível confirmar as atribuições de função e as permissões concedidas aos administradores da organização e aos membros do espaço no nível do projeto Google Cloud usando o IAM no console Google Cloud .

Para verificar as funções

  1. No console do Google Cloud , acesse a página IAM.

    Acessar IAM
  2. Selecione o projeto.

  3. Na coluna Principal, encontre todas as linhas que identificam você ou um grupo no qual você está incluído. Para saber em quais grupos você está incluído, entre em contato com o administrador.

  4. Em todas as linhas que especificam ou incluem você, verifique a coluna Papel para ver se a lista de papéis inclui os papéis necessários.

Para conceder os papéis

  1. No console do Google Cloud , acesse a página IAM.

    Acesse o IAM
  2. Selecione o projeto.
  3. Clique em CONCEDER ACESSO.

  4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

  5. Na lista Selecionar um papel, escolha um.
  6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
  7. Clique em Salvar.

Para verificar as políticas do IAM aplicadas no nível do espaço, consulte Gerenciar participantes e funções em um espaço.