Cette page s'applique à Apigee et à Apigee hybrid.
Consultez la documentation d'
Apigee Edge.
Cette page liste les rôles et autorisations Identity and Access Management requis pour utiliser et gérer Apigee Spaces et les ressources d'espace.
Lorsque vous utilisez Spaces, il est important de noter que les rôles et autorisations IAM sont principalement accordés au niveau de l'espace. Ils permettent aux utilisateurs Apigee d'afficher et de gérer uniquement le sous-ensemble de ressources d'API attribuées à l'espace. Il s'agit d'un changement de comportement par rapport aux contextes Apigee où les espaces ne sont pas utilisés. Les rôles et autorisations accordés aux utilisateurs Apigee pour la gestion des ressources d'API permettent généralement d'accéder à toutes les ressources de ce type.
Pour en savoir plus sur les rôles et autorisations par défaut requis lorsque vous utilisez Spaces, consultez les sections suivantes :
- Rôles et autorisations permettant de créer et de gérer Apigee Spaces
- Afficher les ressources de l'espace dans la console Google Cloud
- Afficher et attribuer des rôles à l'aide d'IAM dans la console Google Cloud
Rôles et autorisations pour créer et gérer des ressources Apigee Spaces
De nouveaux rôles et autorisations ont été ajoutés à IAM pour faciliter l'utilisation des espaces Apigee dans les organisations Apigee pour les cas d'utilisation courants, comme indiqué dans les sections suivantes.
Rôles prédéfinis pour Apigee Spaces
| Rôle | Description | Champ d'application |
|---|---|---|
apigee.spaceContentEditor |
Fournit un accès complet aux ressources pouvant être associées à un espace. Ce rôle doit être accordé au niveau de l'espace. | Apigee Space |
apigee.spaceContentViewer |
Fournit un accès en lecture seule aux ressources pouvant être associées à un espace. Ce rôle doit être accordé au niveau de l'espace. | Apigee Space |
apigee.spaceConsoleUser |
Fournit les autorisations minimales requises pour gérer les ressources d'un espace à l'aide de la console Google Cloud . Accordée au niveau du Google Cloud projet aux utilisateurs ayant accès aux ressources de cet espace. | Google Cloud projet |
Pour permettre aux membres d'un espace de gérer les ressources de cet espace, utilisez la méthode setIamPolicy sur une ressource d'espace pour attribuer le rôle apigee.spaceContentEditor au membre. Pour en savoir plus, consultez
Ajouter un membre de l'organisation à un espace.
Pour permettre aux membres d'un espace d'utiliser l'interface utilisateur Apigee pour gérer les ressources de l'espace, accordez-leur le rôle apigee.spaceConsoleUser sur le projet Google Cloud . Pour en savoir plus, consultez Afficher les ressources de l'espace dans la console Google Cloud .
Si votre scénario est plus complexe ou si vous souhaitez comprendre comment l'utilisation de Spaces modifie la hiérarchie des autorisations IAM, consultez Hiérarchie des autorisations IAM dans Apigee Spaces.
Autorisations requises pour créer et gérer des ressources Apigee Spaces
De nouvelles autorisations ont été ajoutées à IAM pour permettre la création et la gestion d'espaces, comme décrit dans le tableau suivant. Les utilisateurs Apigee auxquels le rôle apigee.admin est attribué disposent des autorisations requises pour créer et gérer un espace dans une organisation Apigee.
| Opération | Autorisation requise |
|---|---|
| Créer un espace | apigee.spaces.create |
| Mettre à jour un espace | apigee.spaces.update |
| Supprimer un espace | apigee.spaces.delete |
| Obtenir les détails d'un espace | apigee.spaces.get |
| Lister tous les espaces d'une organisation Apigee | apigee.spaces.list |
| Obtenir la stratégie IAM associée à un espace | apigee.spaces.getIamPolicy |
| Définir la stratégie IAM associée à un espace | apigee.spaces.setIamPolicy |
Afficher les ressources d'espace dans la console Google Cloud
Pour afficher les ressources d'API associées aux espaces à l'aide de l'interface utilisateur Apigee, les utilisateurs doivent disposer d'un rôle personnalisé : apigee.spaceConsoleUser.
Pour en savoir plus sur l'utilisation de l'UI afin d'afficher et de gérer les ressources d'API dans Spaces, consultez Gérer les ressources d'API dans Apigee Spaces.
Vérifiez que ce rôle personnalisé est accordé à tout utilisateur souhaitant utiliser Apigee dans la console Cloud pour afficher et gérer les ressources de l'espace. Si le rôle apigee.spaceConsoleUser n'est pas déjà disponible dans IAM pour vos utilisateurs, demandez à l'administrateur de votre organisation d'ajouter ce rôle au projet Google Cloud de l'organisation.
L'administrateur peut créer le rôle à l'aide de la commande suivante :
gcloud iam roles create apigee.spaceConsoleUser \ --project="PROJECT_ID" \ --title="Apigee Space Console User" \ --description="Apigee Space Console User"\ --permissions="apigee.entitlements.get,apigee.organizations.get,apigee.organizations.list,apigee.projectorganizations.get,resourcemanager.projects.get,apigee.spaces.list,apigee.spaces.get,apigee.deployments.list,apigee.environments.list,apigee.environments.get,apigee.envgroups.list,apigee.envgroupattachments.list,apigee.instances.list,apigee.apps.list" \ --stage=GA
Remplacez PROJECT_ID par le nom du projet Google Cloud dans lequel l'organisation Apigee a été créée.
Afficher et attribuer des rôles à l'aide d'IAM dans la console Google Cloud
Vous pouvez confirmer les attributions de rôles et les autorisations accordées aux membres de l'espace et aux administrateurs de l'organisation au niveau du projet Google Cloud à l'aide d'IAM dans la console Google Cloud .
Pour vérifier les rôles
-
Dans la console Google Cloud , accédez à la page IAM.
Accéder à IAM - Sélectionnez le projet.
-
Dans la colonne Compte principal, recherchez toutes les lignes qui vous identifient ou qui identifient un groupe dont vous faites partie. Pour savoir à quels groupes vous appartenez, contactez votre administrateur.
- Pour toutes les lignes qui vous spécifient ou vous incluent, consultez la colonne Rôle pour vous assurer que la liste inclut les rôles requis.
Pour accorder les rôles
-
Dans la console Google Cloud , accédez à la page IAM.
Accéder à IAM - Sélectionnez le projet.
- Cliquez sur Accorder l'accès.
-
Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.
- Dans la liste Sélectionner un rôle, sélectionnez un rôle.
- Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
- Cliquez sur Enregistrer.
Pour vérifier les règles IAM appliquées au niveau de l'espace, consultez Gérer les membres et les rôles dans un espace.