Funções e autorizações do Apigee Spaces

Esta página aplica-se ao Apigee e ao Apigee Hybrid.

Veja a documentação do Apigee Edge.

Esta página apresenta as funções e as autorizações de gestão de identidade e de acesso necessárias para usar e gerir os Apigee Spaces e os recursos do espaço.

Quando usar os espaços, é importante ter em atenção que as funções e as autorizações da IAM são concedidas principalmente ao nível do espaço e permitem que os utilizadores do Apigee vejam e façam a gestão apenas do subconjunto de recursos da API atribuídos ao espaço. Esta é uma alteração no comportamento dos contextos do Apigee em que os espaços não são usados e as funções e as autorizações concedidas aos utilizadores do Apigee para a gestão de recursos da API permitem normalmente o acesso a todos os recursos desse tipo.

Para saber mais acerca das funções e autorizações predefinidas necessárias quando usa os Espaços, consulte as seguintes secções:

Funções e autorizações para criar e gerir o Apigee Spaces

Foram adicionadas novas funções e autorizações ao IAM para facilitar a utilização dos Apigee Spaces em organizações do Apigee para exemplos de utilização comuns, conforme mostrado nas secções seguintes.

Funções predefinidas para o Apigee Spaces

Função Descrição Âmbito
apigee.spaceContentEditor Oferece acesso total aos recursos que podem ser associados a um espaço. Esta função deve ser concedida ao nível do espaço. Espaço do Apigee
apigee.spaceContentViewer Fornece acesso só de leitura a recursos que podem ser associados a um espaço. Esta função deve ser concedida ao nível do espaço. Espaço do Apigee
apigee.spaceConsoleUser Fornece as autorizações mínimas necessárias para gerir recursos num espaço através da Google Cloud consola. Concedido ao Google Cloud nível do projeto a utilizadores com acesso a recursos nesse espaço. Google Cloud projeto

Para permitir que os membros do espaço geram recursos nesse espaço, use o método setIamPolicy num recurso de espaço para conceder a função apigee.spaceContentEditor ao membro. Para mais informações, consulte Adicione um membro da organização a um espaço.

Para permitir que os membros do espaço usem a IU do Apigee para gerir recursos do espaço, conceda aos membros a função apigee.spaceConsoleUser no Google Cloud projeto. Para mais informações, consulte o artigo Veja os recursos do espaço na Google Cloud consola.

Se tiver um cenário mais complexo ou quiser compreender como a utilização dos Spaces altera a hierarquia de autorizações de IAM, consulte Hierarquia de autorizações de IAM no Apigee Spaces.

Autorizações necessárias para criar e gerir espaços do Apigee

Foram adicionadas novas autorizações ao IAM para permitir a criação e a gestão de espaços, conforme descrito na tabela seguinte. Os utilizadores do Apigee aos quais foi atribuída a função apigee.admin têm as autorizações necessárias para criar e gerir um espaço numa organização do Apigee.

Operação Autorização necessária
Crie um espaço apigee.spaces.create
Atualize um espaço apigee.spaces.update
Elimine um espaço apigee.spaces.delete
Obtenha detalhes de um espaço apigee.spaces.get
Liste todos os espaços numa organização do Apigee apigee.spaces.list
Obtenha a Política IAM associada a um espaço apigee.spaces.getIamPolicy
Defina a política IAM associada a um espaço apigee.spaces.setIamPolicy

Veja os recursos do espaço na Google Cloud consola

Para ver os recursos da API associados aos espaços através da IU do Apigee, os utilizadores têm de receber uma função personalizada: apigee.spaceConsoleUser.

Para mais informações sobre como usar a IU para ver e gerir recursos de API nos Espaços, consulte o artigo Gerir recursos de API nos Apigee Spaces.

Certifique-se de que esta função personalizada é concedida a qualquer utilizador que queira usar o Apigee na Cloud Console para ver e gerir recursos do espaço. Se a função apigee.spaceConsoleUser ainda não estiver disponível no IAM para os seus utilizadores, peça ao administrador da sua organização para adicionar a função para o projeto da organização Google Cloud .

O administrador pode criar a função através do seguinte comando: 

gcloud iam roles create apigee.spaceConsoleUser \
  --project="PROJECT_ID" \
  --title="Apigee Space Console User" \
  --description="Apigee Space Console User"\
  --permissions="apigee.entitlements.get,apigee.organizations.get,apigee.organizations.list,apigee.projectorganizations.get,resourcemanager.projects.get,apigee.spaces.list,apigee.spaces.get,apigee.deployments.list,apigee.environments.list,apigee.environments.get,apigee.envgroups.list,apigee.envgroupattachments.list,apigee.instances.list,apigee.apps.list" \
  --stage=GA

Substitua PROJECT_ID pelo nome do Google Cloud projeto onde a organização do Apigee foi criada.

Veja e atribua funções através do IAM na Google Cloud consola

Pode confirmar as atribuições de funções e as autorizações concedidas aos membros do espaço e aos administradores da organização ao Google Cloud nível do projeto através do IAM na Google Cloud consola.

Para verificar as funções

  1. Na Google Cloud consola, aceda à página IAM.

    Aceda ao IAM
  2. Selecione o projeto.

  3. Na coluna Principal, encontre todas as linhas que identificam a sua pessoa ou um grupo no qual está incluído. Para saber em que grupos está incluído, contacte o seu administrador.

  4. Para todas as linhas que especificam ou incluem o seu nome, verifique a coluna Função para ver se a lista de funções inclui as funções necessárias.

Para conceder as funções

  1. Na Google Cloud consola, aceda à página IAM.

    Aceder ao IAM
  2. Selecione o projeto.
  3. Clique em Conceder acesso.

  4. No campo Novos responsáveis, introduza o identificador do utilizador. Normalmente, este é o endereço de email de uma Conta Google.

  5. Na lista Selecionar uma função, selecione uma função.
  6. Para conceder funções adicionais, clique em Adicionar outra função e adicione cada função adicional.
  7. Clique em Guardar.

Para verificar as políticas de IAM aplicadas ao nível do espaço, consulte o artigo Faça a gestão de membros e funções num espaço.