Nutzer und Rollen

Diese Seite gilt für Apigee und Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

Ein Nutzer stellt ein authentifiziertes Konto dar, das auf eine Organisation und die Entitäten innerhalb dieser Organisation zugreifen kann, z. B. auf die Umgebungen, API-Proxys und Schlüsselspeicher.

Wenn Sie Ihrer Apigee-Organisation einen neuen Nutzer hinzufügen möchten, gewähren Sie ihm zuerst im Cloud-Projekt und dann in der Apigee-UI Zugriff auf das Konto des Nutzers. In diesem Dokument werden die Begriffe Nutzer und Nutzerkonto synonym verwendet.

Wenn Sie einen neuen Nutzer hinzufügen, geschieht Folgendes:

  1. Weisen Sie dem neuen Nutzer in der Console eine oder mehrere Rollen in Ihrem Cloud-Projekt zu. Dadurch erhält der Nutzer umfassenden Zugriff auf alle Umgebungen in der Organisation.

    Weitere Informationen finden Sie unter Zugriff in der Console verwalten.

  2. Weisen Sie in der Apigee-Benutzeroberfläche zusätzliche Nutzerrollen in einer oder mehreren Umgebungen in Ihrer Apigee-Organisation zu. Beachten Sie, dass umgebungsbezogene Nutzerrollen keine auf der Google Cloud-Ebene zugewiesenen Rollen haben, sondern additiv sind.

    Weitere Informationen finden Sie unter Nutzer in der Apigee-Benutzeroberfläche verwalten.

Informationen zu Rollen

Welche Funktionen Sie dem Nutzerkonto gewähren, hängt von der Art der Rolle ab, die Sie ihm zuweisen. Eine Rolle ist eine Sammlung von Berechtigungen. Sie können dem Nutzer eine Berechtigung nicht direkt zuweisen. Stattdessen weisen Sie ihm eine Rolle zu. Sie können beispielsweise einem Entwickler die API Admin-Rolle zuweisen, damit dieser API-Proxys, KVM und gemeinsam genutzte Abläufe erstellen kann. Personen, die Proxys bereitstellen, können Sie die Environment Admin-Rolle zuweisen, mit denen sie API-Proxy-Revisionen bereitstellen und deren Bereitstellung wieder aufheben können. Weitere Informationen zu allen Apigee-Rollen finden Sie unter Apigee-Rollen.

Welche Ressourcen ein Nutzer basierend auf seiner Rolle aufrufen kann, hängt davon ab, wo Sie die Rolle zugewiesen haben:

  • Cloud-Projekt: Wenn Sie in der Console eine Rolle zuweisen (im Cloud-Projekt), kann der Nutzer auf alle Apigee-Ressourcen, d.h. alle Umgebungen und Ressourcen innerhalb dieser Umgebungen, in dieser Rolle zugreifen. Dies liegt daran, dass das Cloud-Projekt das übergeordnete Apigee-Benutzeroberfläche in der Ressourcenhierarchie ist. Die für das übergeordnete Projekt (das Cloud-Projekt) festgelegten Berechtigungen werden von allen untergeordneten (Umgebungen) übernommen. Sie können diesen Zugriff einschränken, indem Sie Nutzerrollen pro Umgebung in der Apigee-Benutzeroberfläche angeben.

    Die Zugriffskontrolle in Google Cloud Platform wird mit Google Cloud-Identitäts- und Zugriffsverwaltung (IAM) gesteuert. Mit Cloud IAM können Sie Berechtigungen festlegen, um anzugeben, wer welche Art von Zugriff auf bestimmte Ressourcen in Ihrem Projekt hat. Weitere Informationen finden Sie unter Identitätskonzepte.

    Nutzer sind eine Art von Hauptkonto. Dies ist ein allgemeiner Begriff, der sich auf eine Identität bezieht, der Zugriff auf Ressourcen gewährt wird. Weitere Arten von Cloud-Hauptkonten sind Dienstkonten, Google-Gruppen und G Suite-Domains. Weitere Informationen finden Sie in dieser Übersicht zu Cloud Identity and Access Management.

  • Umgebungszugriff: Die Zuweisung einer Nutzerrolle für eine bestimmte Umgebung hat keine Auswirkungen auf Rollen, die auf Google Cloud-Projektebene festgelegt wurden. Auf der Umgebungsebene werden einem Nutzer zugewiesene Rollen als Vereinigung aller Cloud-Rollen dargestellt, die dem Nutzer zugewiesen sind.

Wenn Sie beispielsweise einen Nutzer als API Admin im Cloud-Projekt definieren, hat dieser Nutzer Zugriff als API Admin an alle Umgebungen in Ihrer Organisation.

Rollenempfehlungen

Apigee empfiehlt, dass Sie für jedes neu hinzugefügte Nutzerkonto folgende Schritte ausführen. Dies ist nicht erforderlich, wenn Sie Supernutzer oder Administratoren hinzufügen:

  1. Fügen Sie in der Konsole das neue Nutzerkonto hinzu und wählen Sie eine Rolle mit minimalen Berechtigungen aus. Legen Sie beispielsweise einen neuen Nutzer auf API Admin fest.
  2. Fügen Sie den Nutzer in der Ansicht Umgebungszugriff der Apigee-Benutzeroberfläche hinzu und legen Sie alle zusätzlichen Nutzerrollen für jede Umgebung in der Organisation fest, wie unter Nutzer verwalten beschrieben. Beachten Sie, dass in der Apigee-Benutzeroberfläche festgelegte umgebungsbezogene Rollen keine auf der Google Cloud-Ebene festgelegten Rollen ersetzen. Sie sind additiv.