Esta página se aplica a Apigee y Apigee Hybrid.
Consulta la documentación de
Apigee Edge.
En esta página, se enumeran los roles y permisos de Identity and Access Management necesarios para usar y administrar los espacios de Apigee y los recursos de los espacios.
Cuando se usan espacios, es importante tener en cuenta que los roles y permisos de IAM se otorgan principalmente a nivel del espacio y permiten que los usuarios de Apigee vean y administren solo el subconjunto de recursos de API asignados al espacio. Este es un cambio en el comportamiento de los contextos de Apigee en los que no se usan espacios, y los roles y permisos otorgados a los usuarios de Apigee para la administración de recursos de API suelen habilitar el acceso a todos los recursos de ese tipo.
Para obtener más información sobre los roles y permisos predeterminados necesarios cuando se usan los espacios, consulta las siguientes secciones:
- Roles y permisos para crear y administrar espacios de Apigee
- Cómo ver los recursos de Space en Google Cloud console
- Visualiza y asigna roles con IAM en la Google Cloud consola
Roles y permisos para crear y administrar espacios de Apigee
Se agregaron nuevos roles y permisos a IAM para facilitar el uso de Apigee Spaces en las organizaciones de Apigee para casos de uso comunes, como se muestra en las siguientes secciones.
Roles predefinidos para los espacios de Apigee
| Rol | Descripción | Alcance |
|---|---|---|
apigee.spaceContentEditor |
Proporciona acceso completo a los recursos que se pueden asociar a un espacio. Este rol se debe otorgar a nivel del espacio. | Apigee Space |
apigee.spaceContentViewer |
Proporciona acceso de solo lectura a los recursos que se pueden asociar con un espacio. Este rol se debe otorgar a nivel del espacio. | Apigee Space |
apigee.spaceConsoleUser |
Proporciona los permisos mínimos necesarios para administrar recursos en un espacio con la consola de Google Cloud . Se otorga a nivel del Google Cloud proyecto a los usuarios con acceso a los recursos de ese espacio. | Google Cloud proyecto |
Para permitir que los miembros del espacio administren recursos en ese espacio, usa el método setIamPolicy en un recurso de espacio para otorgar el rol apigee.spaceContentEditor al miembro. Para obtener más información,
consulta
Cómo agregar un miembro de la organización a un espacio.
Para permitir que los miembros del espacio usen la IU de Apigee para administrar los recursos del espacio,
otórgales el rol de apigee.spaceConsoleUser en el proyecto Google Cloud . Para obtener más información, consulta Cómo ver los recursos de espacio en la consola de Google Cloud .
Si tienes una situación más compleja o deseas comprender cómo el uso de los espacios cambia la jerarquía de permisos de IAM, consulta Jerarquía de permisos de IAM en los espacios de Apigee.
Permisos necesarios para crear y administrar espacios de Apigee
Se agregaron permisos nuevos a IAM para permitir la creación y administración de espacios, como se describe en la siguiente tabla. Los usuarios de Apigee a los que se les asignó el rol apigee.admin
tendrán los permisos necesarios para crear y administrar un espacio en una organización de Apigee.
| Operación | Se requiere permiso |
|---|---|
| Crear un espacio | apigee.spaces.create |
| Actualizar un espacio | apigee.spaces.update |
| Borrar un espacio | apigee.spaces.delete |
| Obtén detalles de un espacio | apigee.spaces.get |
| Enumera todos los espacios en una organización de Apigee | apigee.spaces.list |
| Obtén la política de IAM asociada con un espacio | apigee.spaces.getIamPolicy |
| Cómo establecer la política de IAM asociada a un espacio | apigee.spaces.setIamPolicy |
Visualiza recursos de espacios en la consola de Google Cloud
Para ver los recursos de API asociados a espacios con la IU de Apigee, los usuarios deben tener un rol personalizado: apigee.spaceConsoleUser.
Para obtener más información sobre el uso de la IU para ver y administrar recursos de API en espacios, consulta Administra recursos de API en los espacios de Apigee.
Asegúrate de que este rol personalizado se otorgue a cualquier usuario que desee usar Apigee en la consola de Cloud para ver y administrar recursos de espacios. Si el rol apigee.spaceConsoleUser aún no está disponible en IAM para tus usuarios, pídele al administrador de tu organización que agregue el rol al proyecto Google Cloud de la organización.
El administrador puede crear el rol con el siguiente comando:
gcloud iam roles create apigee.spaceConsoleUser \ --project="PROJECT_ID" \ --title="Apigee Space Console User" \ --description="Apigee Space Console User"\ --permissions="apigee.entitlements.get,apigee.organizations.get,apigee.organizations.list,apigee.projectorganizations.get,resourcemanager.projects.get,apigee.spaces.list,apigee.spaces.get,apigee.deployments.list,apigee.environments.list,apigee.environments.get,apigee.envgroups.list,apigee.envgroupattachments.list,apigee.instances.list,apigee.apps.list" \ --stage=GA
Reemplaza PROJECT_ID por el nombre del proyecto Google Cloud en el que se creó la organización de Apigee.
Visualiza y asigna roles con IAM en la consola de Google Cloud
Puedes confirmar las asignaciones de roles y los permisos otorgados a los miembros del espacio y a los administradores de la organización a nivel del proyecto Google Cloud con IAM en la consola Google Cloud . Google Cloud
Verifica los roles
-
En la consola de Google Cloud , ve a la página IAM.
Ir a IAM - Selecciona el proyecto.
-
En la columna Principal, busca todas las filas que te identifiquen a ti o a un grupo en el que se te incluya. Para saber en qué grupos estás incluido, comunícate con tu administrador.
- Para todas las filas en las que se te especifique o se te incluya, verifica la columna Rol para ver si la lista de roles incluye los roles necesarios.
Otorga los roles
-
En la consola de Google Cloud , ve a la página IAM.
Ir a IAM - Selecciona el proyecto.
- Haz clic en Grant access.
-
En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.
- En la lista Seleccionar un rol, elige un rol.
- Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
- Haz clic en Guardar.
Para verificar las políticas de IAM aplicadas a nivel del espacio, consulta Cómo administrar miembros y roles en un espacio.