Questa pagina si applica ad Apigee e Apigee hybrid.
Visualizza la documentazione di
Apigee Edge.
Questa pagina elenca i ruoli e le autorizzazioni di Identity and Access Management necessari per utilizzare e gestire Apigee Spaces e le risorse dello spazio.
Quando utilizzi gli spazi, è importante notare che i ruoli e le autorizzazioni IAM vengono concessi principalmente a livello di spazio e consentono agli utenti Apigee di visualizzare e gestire solo il sottoinsieme di risorse API assegnate allo spazio. Si tratta di una modifica del comportamento rispetto ai contesti Apigee in cui non vengono utilizzati gli spazi e i ruoli e le autorizzazioni concesse agli utenti Apigee per la gestione delle risorse API in genere consentono l'accesso a tutte le risorse di quel tipo.
Per scoprire di più sui ruoli e sulle autorizzazioni predefiniti richiesti quando utilizzi Spaces, consulta le seguenti sezioni:
- Ruoli e autorizzazioni per creare e gestire gli spazi Apigee
- Visualizzare le risorse di Space nella console Google Cloud
- Visualizzare e assegnare ruoli utilizzando IAM nella Google Cloud console
Ruoli e autorizzazioni per creare e gestire gli spazi Apigee
Sono stati aggiunti nuovi ruoli e autorizzazioni a IAM per semplificare l'utilizzo di Apigee Spaces nelle organizzazioni Apigee per i casi d'uso comuni, come mostrato nelle sezioni seguenti.
Ruoli predefiniti per Apigee Spaces
| Ruolo | Descrizione | Ambito |
|---|---|---|
apigee.spaceContentEditor |
Fornisce l'accesso completo alle risorse che possono essere associate a uno spazio. Questo ruolo deve essere concesso a livello di spazio. | Apigee Space |
apigee.spaceContentViewer |
Fornisce l'accesso di sola lettura alle risorse che possono essere associate a uno spazio. Questo ruolo deve essere concesso a livello di spazio. | Apigee Space |
apigee.spaceConsoleUser |
Fornisce le autorizzazioni minime necessarie per gestire le risorse in uno spazio utilizzando la console Google Cloud . Concesso a livello di progetto Google Cloud agli utenti con accesso alle risorse in questo spazio. | Google Cloud progetto |
Per consentire ai membri dello spazio di gestire le risorse in quello spazio, utilizza il metodo setIamPolicy
su una risorsa spazio per concedere il ruolo apigee.spaceContentEditor al membro. Per maggiori informazioni,
vedi
Aggiungere un membro dell'organizzazione a uno spazio.
Per consentire ai membri dello spazio di utilizzare l'interfaccia utente Apigee per gestire le risorse dello spazio,
concedi ai membri il ruolo apigee.spaceConsoleUser nel progetto Google Cloud . Per saperne di più, consulta Visualizzare le risorse dello spazio nella console. Google Cloud
Se hai uno scenario più complesso o vuoi capire in che modo l'utilizzo di Spaces modifica la gerarchia delle autorizzazioni IAM, consulta Gerarchia delle autorizzazioni IAM in Apigee Spaces.
Autorizzazioni richieste per creare e gestire Apigee Spaces
Sono state aggiunte nuove autorizzazioni a IAM per consentire la creazione e la gestione degli spazi,
come descritto nella tabella seguente. Gli utenti Apigee a cui è stato assegnato il ruolo apigee.admin
disporranno delle autorizzazioni necessarie per creare e gestire uno spazio in un'organizzazione Apigee.
| Operazione | Autorizzazione richiesta |
|---|---|
| Creare uno spazio | apigee.spaces.create |
| Aggiornare uno spazio | apigee.spaces.update |
| Eliminare uno spazio | apigee.spaces.delete |
| Visualizzare i dettagli di uno spazio | apigee.spaces.get |
| Elenca tutti gli spazi in un'organizzazione Apigee | apigee.spaces.list |
| Recuperare il criterio IAM associato a uno spazio | apigee.spaces.getIamPolicy |
| Imposta il criterio IAM associato a uno spazio | apigee.spaces.setIamPolicy |
Visualizzare le risorse dello spazio nella console Google Cloud
Per visualizzare le risorse API associate agli spazi utilizzando la UI Apigee,
gli utenti devono disporre di un ruolo personalizzato: apigee.spaceConsoleUser.
Per saperne di più sull'utilizzo dell'interfaccia utente per visualizzare e gestire le risorse API in Spaces, consulta Gestire le risorse API in Apigee Spaces.
Verifica che questo ruolo personalizzato sia concesso a
qualsiasi utente che voglia utilizzare Apigee in Cloud Console per visualizzare e gestire le risorse dello spazio. Se il ruolo apigee.spaceConsoleUser non è già disponibile in IAM per i tuoi utenti, chiedi all'amministratore dell'organizzazione di aggiungere il ruolo per il progetto Google Cloud dell'organizzazione.
L'amministratore può creare il ruolo utilizzando il seguente comando:
gcloud iam roles create apigee.spaceConsoleUser \ --project="PROJECT_ID" \ --title="Apigee Space Console User" \ --description="Apigee Space Console User"\ --permissions="apigee.entitlements.get,apigee.organizations.get,apigee.organizations.list,apigee.projectorganizations.get,resourcemanager.projects.get,apigee.spaces.list,apigee.spaces.get,apigee.deployments.list,apigee.environments.list,apigee.environments.get,apigee.envgroups.list,apigee.envgroupattachments.list,apigee.instances.list,apigee.apps.list" \ --stage=GA
Sostituisci PROJECT_ID con il nome del Google Cloud progetto in cui è stata creata l'organizzazione Apigee.
Visualizzare e assegnare ruoli utilizzando IAM nella console Google Cloud
Puoi confermare le assegnazioni di ruolo e le autorizzazioni concesse ai membri dello spazio e agli amministratori dell'organizzazione a livello di progetto Google Cloud utilizzando IAM nella console Google Cloud .
Per verificare i ruoli
-
Nella console Google Cloud , vai alla pagina IAM.
Vai a IAM - Seleziona il progetto.
-
Nella colonna Entità, trova tutte le righe che identificano te o un gruppo di cui fai parte. Per scoprire a quali gruppi appartieni, contatta il tuo amministratore.
- Per tutte le righe che ti specificano o ti includono, controlla la colonna Ruolo per vedere se l'elenco dei ruoli include i ruoli richiesti.
Per concedere i ruoli
-
Nella console Google Cloud , vai alla pagina IAM.
Vai a IAM - Seleziona il progetto.
- Fai clic su Concedi l'accesso.
-
Nel campo Nuove entità, inserisci il tuo identificatore dell'utente. In genere si tratta dell'indirizzo email di un Account Google.
- Nell'elenco Seleziona un ruolo, seleziona un ruolo.
- Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
- Fai clic su Salva.
Per verificare le policy IAM applicate a livello di spazio, consulta Gestire membri e ruoli in uno spazio.