Esta página se aplica a Apigee y Apigee Hybrid.
Consulta la documentación de
Apigee Edge.
En esta página se indican los roles y permisos de Gestión de Identidades y Accesos necesarios para usar y gestionar Apigee Spaces y los recursos de espacios.
Cuando se usan espacios, es importante tener en cuenta que los roles y permisos de gestión de identidades y accesos se conceden principalmente a nivel de espacio y permiten que los usuarios de Apigee vean y gestionen solo el subconjunto de recursos de API asignados al espacio. Se trata de un cambio en el comportamiento de los contextos de Apigee, en los que no se utilizan espacios y los roles y permisos concedidos a los usuarios de Apigee para gestionar los recursos de la API suelen permitir el acceso a todos los recursos de ese tipo.
Para obtener más información sobre los roles y permisos predeterminados necesarios al usar espacios, consulta las siguientes secciones:
- Roles y permisos para crear y gestionar espacios de Apigee
- Ver recursos de espacio en la Google Cloud consola
- Ver y asignar roles mediante Gestión de Identidades y Accesos (IAM) en la Google Cloud consola
Roles y permisos para crear y gestionar espacios de Apigee
Se han añadido nuevos roles y permisos a gestión de identidades y accesos para que sea más fácil usar Apigee Spaces en organizaciones de Apigee en casos prácticos habituales, tal como se muestra en las siguientes secciones.
Roles predefinidos de Apigee Spaces
| Rol | Descripción | Ámbito |
|---|---|---|
apigee.spaceContentEditor |
Proporciona acceso completo a los recursos que se pueden asociar a un espacio. Este rol se debe conceder a nivel de espacio. | Espacio de Apigee |
apigee.spaceContentViewer |
Proporciona acceso de solo lectura a los recursos que se pueden asociar a un espacio. Este rol se debe conceder a nivel de espacio. | Espacio de Apigee |
apigee.spaceConsoleUser |
Proporciona los permisos mínimos necesarios para gestionar recursos en un espacio mediante la consola de Google Cloud . Se concede a nivel de Google Cloud proyecto a los usuarios que tienen acceso a los recursos de ese espacio. | Google Cloud project |
Para permitir que los miembros de un espacio gestionen los recursos de ese espacio, usa el método setIamPolicy en un recurso Space para asignar el rol apigee.spaceContentEditor al miembro. Para obtener más información, consulta el artículo
Añadir un miembro de la organización a un espacio.
Para permitir que los miembros del espacio usen la interfaz de usuario de Apigee para gestionar los recursos del espacio,
otorgue a los miembros el rol apigee.spaceConsoleUser en el proyecto Google Cloud . Para obtener más información, consulta Ver recursos de espacio en la consola de Google Cloud .
Si tienes un caso más complejo o quieres saber cómo cambia la jerarquía de permisos de gestión de identidades y accesos con el uso de Espacios, consulta Jerarquía de permisos de gestión de identidades y accesos en Espacios de Apigee.
Permisos necesarios para crear y gestionar espacios de Apigee
Se han añadido nuevos permisos a IAM para permitir la creación y gestión de espacios, tal como se describe en la siguiente tabla. Los usuarios de Apigee que tengan asignado el rol apigee.admin
tendrán los permisos necesarios para crear y gestionar un espacio en una organización de Apigee.
| Operación | Permiso requerido |
|---|---|
| Crear un espacio | apigee.spaces.create |
| Actualizar un espacio | apigee.spaces.update |
| Eliminar un espacio | apigee.spaces.delete |
| Obtener detalles de un espacio | apigee.spaces.get |
| Mostrar todos los espacios de una organización de Apigee | apigee.spaces.list |
| Obtener la política de gestión de identidades y accesos asociada a un espacio | apigee.spaces.getIamPolicy |
| Definir la política de gestión de identidades y accesos asociada a un espacio | apigee.spaces.setIamPolicy |
Ver recursos de espacio en la consola de Google Cloud
Para ver los recursos de la API asociados a espacios mediante la interfaz de usuario de Apigee,
los usuarios deben tener asignado un rol personalizado: apigee.spaceConsoleUser.
Para obtener más información sobre cómo usar la interfaz de usuario para ver y gestionar recursos de API en Espacios, consulta Gestionar recursos de API en Apigee Spaces.
Comprueba que este rol personalizado se haya asignado a todos los usuarios que quieran usar Apigee en la consola de Cloud para ver y gestionar recursos de espacio. Si el rol apigee.spaceConsoleUser aún no está disponible en IAM para tus usuarios, pide al administrador de tu organización que añada el rol al proyecto de la organización. Google Cloud
El administrador puede crear el rol con el siguiente comando:
gcloud iam roles create apigee.spaceConsoleUser \ --project="PROJECT_ID" \ --title="Apigee Space Console User" \ --description="Apigee Space Console User"\ --permissions="apigee.entitlements.get,apigee.organizations.get,apigee.organizations.list,apigee.projectorganizations.get,resourcemanager.projects.get,apigee.spaces.list,apigee.spaces.get,apigee.deployments.list,apigee.environments.list,apigee.environments.get,apigee.envgroups.list,apigee.envgroupattachments.list,apigee.instances.list,apigee.apps.list" \ --stage=GA
Sustituye PROJECT_ID por el nombre del Google Cloud proyecto en el que se creó la organización de Apigee.
Ver y asignar roles con IAM en la Google Cloud consola
Puedes confirmar las asignaciones de roles y los permisos concedidos a los miembros del espacio y a los administradores de la organización a nivel de proyecto mediante la gestión de identidades y accesos en la consola. Google Cloud Google Cloud
Para comprobar los roles
-
En la consola, ve a la página IAM. Google Cloud
Ir a IAM - Selecciona el proyecto.
-
En la columna Principal, busca todas las filas que te identifiquen a ti o a un grupo del que formes parte. Para saber en qué grupos estás incluido, ponte en contacto con tu administrador.
- En todas las filas en las que se te especifique o se te incluya, consulta la columna Rol para ver si la lista de roles incluye los roles necesarios.
Para conceder los roles
-
En la consola, ve a la página IAM. Google Cloud
Ir a IAM - Selecciona el proyecto.
- Haz clic en Conceder acceso.
-
En el campo Nuevos principales, introduce tu identificador de usuario. Normalmente, se trata de la dirección de correo de una cuenta de Google.
- En la lista Selecciona un rol, elige un rol.
- Para conceder más roles, haz clic en Añadir otro rol y añade cada rol adicional.
- Haz clic en Guardar.
Para comprobar las políticas de gestión de identidades y accesos aplicadas a nivel de espacio, consulta Gestionar miembros y roles en un espacio.