Diese Seite gilt für Apigee und Apigee Hybrid.
Apigee Edge-Dokumentation aufrufen
Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) und -Berechtigungen aufgeführt, die für die Verwendung und Verwaltung von Apigee Spaces und Space-Ressourcen erforderlich sind.
Bei der Verwendung von Spaces ist es wichtig zu beachten, dass IAM-Rollen und -Berechtigungen in erster Linie auf Space-Ebene gewährt werden und Apigee-Nutzer nur die Teilmenge der API-Ressourcen ansehen und verwalten können, die dem Space zugewiesen sind. Dies ist eine Verhaltensänderung gegenüber Apigee-Kontexten, in denen keine Spaces verwendet werden. Die Rollen und Berechtigungen, die Apigee-Nutzern für die Verwaltung von API-Ressourcen gewährt werden, ermöglichen in der Regel den Zugriff auf alle Ressourcen dieses Typs.
Weitere Informationen zu den Standardrollen und Berechtigungen, die für die Verwendung von Spaces erforderlich sind, finden Sie in den folgenden Abschnitten:
- Rollen und Berechtigungen zum Erstellen und Verwalten von Apigee Spaces
- Space-Ressourcen in der Google Cloud Console ansehen
- Rollen mit IAM in der Google Cloud Console ansehen und zuweisen
Rollen und Berechtigungen zum Erstellen und Verwalten von Apigee Spaces
IAM wurden neue Rollen und Berechtigungen hinzugefügt, um die Verwendung von Apigee Spaces in Apigee-Organisationen für gängige Anwendungsfälle zu vereinfachen. Weitere Informationen finden Sie in den folgenden Abschnitten.
Vordefinierte Rollen für Apigee Spaces
| Rolle | Beschreibung | Umfang |
|---|---|---|
apigee.spaceContentEditor |
Gewährt vollständigen Zugriff auf Ressourcen, die mit einem Bereich verknüpft werden können. Diese Rolle sollte auf Bereichsebene erteilt werden. | Apigee Space |
apigee.spaceContentViewer |
Gewährt Lesezugriff auf Ressourcen, die mit einem Bereich verknüpft werden können. Diese Rolle sollte auf Bereichsebene erteilt werden. | Apigee Space |
apigee.spaceConsoleUser |
Bietet die Mindestberechtigungen, die zum Verwalten von Ressourcen in einem Bereich über die Google Cloud -Konsole erforderlich sind. Wird Nutzern mit Zugriff auf Ressourcen in diesem Bereich auf Google Cloud Projektebene gewährt. | Google Cloud -Projekt |
Wenn Sie Mitgliedern eines Gruppenbereichs erlauben möchten, Ressourcen in diesem Gruppenbereich zu verwalten, verwenden Sie die Methode setIamPolicy für eine Gruppenbereichsressource, um dem Mitglied die Rolle apigee.spaceContentEditor zuzuweisen. Weitere Informationen finden Sie unter
Organisationsmitglied zu einem Space hinzufügen.
Damit Space-Mitglieder die Apigee-UI zum Verwalten von Space-Ressourcen verwenden können, weisen Sie ihnen die Rolle apigee.spaceConsoleUser für das Google Cloud Projekt zu. Weitere Informationen finden Sie unter Space-Ressourcen in der Google Cloud -Konsole ansehen.
Wenn Sie ein komplexeres Szenario haben oder wissen möchten, wie sich die Verwendung von Spaces auf die IAM-Berechtigungshierarchie auswirkt, lesen Sie den Abschnitt IAM-Berechtigungshierarchie in Apigee Spaces.
Erforderliche Berechtigungen zum Erstellen und Verwalten von Apigee Spaces
IAM wurden neue Berechtigungen hinzugefügt, mit denen Spaces erstellt und verwaltet werden können, wie in der folgenden Tabelle beschrieben. Apigee-Nutzer, denen die Rolle apigee.admin zugewiesen ist, haben die erforderlichen Berechtigungen zum Erstellen und Verwalten eines Bereichs in einer Apigee-Organisation.
| Vorgang | Berechtigung erforderlich |
|---|---|
| Gruppenbereich erstellen | apigee.spaces.create |
| Space aktualisieren | apigee.spaces.update |
| Gruppenbereiche löschen | apigee.spaces.delete |
| Details zu einem Gruppenbereich abrufen | apigee.spaces.get |
| Alle Spaces in einer Apigee-Organisation auflisten | apigee.spaces.list |
| IAM-Richtlinie für einen Space abrufen | apigee.spaces.getIamPolicy |
| IAM-Richtlinie für einen Space festlegen | apigee.spaces.setIamPolicy |
Space-Ressourcen in der Google Cloud -Konsole ansehen
Wenn Nutzer API-Ressourcen ansehen möchten, die mit Spaces über die Apigee-Benutzeroberfläche verknüpft sind, benötigen sie eine benutzerdefinierte Rolle: apigee.spaceConsoleUser.
Weitere Informationen zum Ansehen und Verwalten von API-Ressourcen in Spaces über die Benutzeroberfläche finden Sie unter API-Ressourcen in Apigee Spaces verwalten.
Prüfen Sie, ob diese benutzerdefinierte Rolle allen Nutzern gewährt wurde, die Apigee in der Cloud Console verwenden möchten, um Spaces-Ressourcen aufzurufen und zu verwalten. Wenn die Rolle apigee.spaceConsoleUser für Ihre Nutzer noch nicht in IAM verfügbar ist, bitten Sie den Administrator Ihrer Organisation, die Rolle für das Google Cloud Projekt der Organisation hinzuzufügen.
Der Administrator kann die Rolle mit dem folgenden Befehl erstellen:
gcloud iam roles create apigee.spaceConsoleUser \ --project="PROJECT_ID" \ --title="Apigee Space Console User" \ --description="Apigee Space Console User"\ --permissions="apigee.entitlements.get,apigee.organizations.get,apigee.organizations.list,apigee.projectorganizations.get,resourcemanager.projects.get,apigee.spaces.list,apigee.spaces.get,apigee.deployments.list,apigee.environments.list,apigee.environments.get,apigee.envgroups.list,apigee.envgroupattachments.list,apigee.instances.list,apigee.apps.list" \ --stage=GA
Ersetzen Sie PROJECT_ID durch den Namen des Google Cloud Projekts, in dem die Apigee-Organisation erstellt wurde.
Rollen mit IAM in der Google Cloud Console ansehen und zuweisen
Sie können die Rollenzuweisungen und Berechtigungen für Mitglieder von Space und Organisationsadministratoren mit IAM in der Google Cloud Console auf Google Cloud Projektebene prüfen.
Auf Rollen prüfen
-
Rufen Sie in der Google Cloud Console die Seite IAM auf.
IAM aufrufen - Wählen Sie das Projekt aus.
-
Suchen Sie in der Spalte Hauptkonto nach allen Zeilen, in denen Sie oder eine Gruppe, zu der Sie gehören, angegeben sind. Fragen Sie Ihren Administrator, zu welchen Gruppen Sie gehören.
- Prüfen Sie in allen Zeilen, in denen Sie angegeben oder enthalten sind, die Spalte Rolle, um zu sehen, ob die Liste der Rollen die erforderlichen Rollen enthält.
So weisen Sie die Rollen zu:
-
Rufen Sie in der Google Cloud Console die Seite IAM auf.
Zu IAM - Wählen Sie das Projekt aus.
- Klicken Sie auf Zugriff erlauben.
-
Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.
- Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
- Wenn Sie weitere Rollen zuweisen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
- Klicken Sie auf Speichern.
Informationen zum Prüfen der auf Space-Ebene angewendeten IAM-Richtlinien finden Sie unter Mitglieder und Rollen in einem Space verwalten.