本页面适用于 Apigee 和 Apigee Hybrid。
查看 Apigee Edge 文档。
本页面列出了使用和管理 Apigee 空间和空间资源所需的 Identity and Access Management 角色和权限。
使用 Apigee Spaces 时,请务必注意,IAM 角色和权限主要是在空间级别授予的,并且仅允许 Apigee 用户查看和管理分配给该空间的 API 资源子集。这与不使用空间的 Apigee 环境中的行为有所不同,在这些环境中,授予 Apigee 用户用于管理 API 资源的角色和权限通常允许用户访问相应类型的所有资源。
如需详细了解使用 Spaces 时所需的默认角色和权限,请参阅以下部分:
创建和管理 Apigee 空间所需的角色和权限
我们已向 IAM 添加了新的角色和权限,以便在常见使用情形下更轻松地在 Apigee 组织中使用 Apigee 空间,如以下部分所示。
Apigee 空间的预定义角色
| 角色 | 说明 | 范围 |
|---|---|---|
apigee.spaceContentEditor |
提供对可与空间关联的资源的完整访问权限。此角色应在空间级层授予。 | Apigee Space |
apigee.spaceContentViewer |
提供对可与空间关联的资源的只读权限。此角色应在空间级层授予。 | Apigee Space |
apigee.spaceConsoleUser |
提供使用 Google Cloud 控制台管理空间中的资源所需的最低权限。 在 Google Cloud 项目级层授予,适用于有权访问相应空间中资源的用户。 | Google Cloud 项目 |
如需允许聊天室成员管理相应聊天室中的资源,请对聊天室资源使用 setIamPolicy 方法,向相应成员授予 apigee.spaceContentEditor 角色。如需了解详情,请参阅
将组织成员添加到空间。
如需允许空间成员使用 Apigee 界面管理空间资源,请向这些成员授予 Google Cloud 项目的 apigee.spaceConsoleUser 角色。如需了解详情,请参阅在 Google Cloud 控制台中查看空间资源。
如果您的情况较为复杂,或者想了解使用空间如何改变 IAM 权限层次结构,请参阅 Apigee 空间中的 IAM 权限层次结构。
创建和管理 Apigee 空间所需的权限
IAM 中新增了权限,可用于创建和管理空间,如下表中所述。分配了 apigee.admin 角色的 Apigee 用户将拥有在 Apigee 组织中创建和管理空间所需的权限。
| 操作 | 需要权限 |
|---|---|
| 创建空间 | apigee.spaces.create |
| 更新空间 | apigee.spaces.update |
| 删除空间 | apigee.spaces.delete |
| 获取空间的详细信息 | apigee.spaces.get |
| 列出 Apigee 组织中的所有空间 | apigee.spaces.list |
| 获取与空间关联的 IAM 政策 | apigee.spaces.getIamPolicy |
| 设置与空间关联的 IAM 政策 | apigee.spaces.setIamPolicy |
在 Google Cloud 控制台中查看空间资源
如需使用 Apigee 界面查看与空间关联的 API 资源,必须向用户授予自定义角色:apigee.spaceConsoleUser。
如需详细了解如何使用界面查看和管理空间中的 API 资源,请参阅管理 Apigee 空间中的 API 资源。
检查以确保向任何希望使用 Cloud 控制台中的 Apigee 查看和管理空间资源的用户授予此自定义角色。如果 IAM 中尚未为您的用户提供 apigee.spaceConsoleUser 角色,请让您的组织管理员为组织的 Google Cloud 项目添加该角色。
管理员可以使用以下命令创建该角色:
gcloud iam roles create apigee.spaceConsoleUser \ --project="PROJECT_ID" \ --title="Apigee Space Console User" \ --description="Apigee Space Console User"\ --permissions="apigee.entitlements.get,apigee.organizations.get,apigee.organizations.list,apigee.projectorganizations.get,resourcemanager.projects.get,apigee.spaces.list,apigee.spaces.get,apigee.deployments.list,apigee.environments.list,apigee.environments.get,apigee.envgroups.list,apigee.envgroupattachments.list,apigee.instances.list,apigee.apps.list" \ --stage=GA
将 PROJECT_ID 替换为在其中创建 Apigee 组织的 Google Cloud 项目的名称。
在 Google Cloud 控制台中使用 IAM 查看和分配角色
您可以在 Google Cloud 控制台中使用 IAM 确认在 Google Cloud 项目级层向空间成员和组织管理员授予的角色分配和权限。
检查角色
-
在 Google Cloud 控制台中,前往 IAM 页面。
转到 IAM - 选择项目。
-
在主账号列中,找到标识您或您所属群组的所有行。如需了解您属于哪些群组,请与您的管理员联系。
- 对于指定或包含您的所有行,请检查角色列以查看角色列表是否包含所需的角色。
授予角色
-
在 Google Cloud 控制台中,前往 IAM 页面。
前往 IAM - 选择项目。
- 点击 授予访问权限。
-
在新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。
- 在选择角色列表中,选择一个角色。
- 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
- 点击保存。
如需查看在空间级层应用的 IAM 政策,请参阅 管理空间中的成员和角色。