Um utilizador representa uma conta autenticada que pode aceder a uma organização e às entidades nessa organização, como os ambientes, os proxies de API e os arquivos de chaves.
Para adicionar um novo utilizador à sua organização do Apigee, concede acesso à conta
do utilizador, primeiro no projeto do Google Cloud e, em seguida, na IU do Apigee. (Este documento usa os termos utilizador e conta de utilizador sem distinção.)
Quando adiciona um novo utilizador, normalmente:
Na consola, atribua o novo utilizador a uma ou mais funções no seu projeto do Google Cloud. Isto concede ao utilizador um acesso amplo a todos os ambientes na organização.
Na IU do Apigee, conceda funções de utilizador adicionais num ou mais
ambientes na sua organização do Apigee. Tenha em atenção que as funções de utilizador com âmbito de ambiente não substituem as funções concedidas ao nível do Google Cloud; são aditivas.
As capacidades que concede à conta de utilizador dependem do tipo de função que lhe atribui. Uma função é uma coleção de autorizações.
Não pode conceder uma autorização ao utilizador diretamente. Em alternativa, atribui-lhe uma função. Por exemplo, pode atribuir a função de API Admin a um programador para que este possa criar proxies de API, KVM e fluxos partilhados. Para alguém que vai implementar proxies, pode atribuir-lhe a função de Environment Admin, que lhe concede a capacidade de implementar e anular a implementação de revisões de proxy de API. Para ver detalhes sobre todas as funções do Apigee, consulte o artigo
Funções do Apigee.
Além disso, os recursos aos quais um utilizador pode aceder com base na respetiva função dependem do local onde atribuiu a função:
Projeto do Google Cloud: se atribuir uma função na consola (no projeto do Google Cloud),
o utilizador pode aceder a todos os recursos do Apigee, ou seja, todos os ambientes e recursos nesses
ambientes, nessa função. Isto deve-se ao facto de o projeto na nuvem ser o principal
da IU do Apigee na hierarquia de recursos. As autorizações definidas no principal (o projeto na nuvem) são herdadas por todos os secundários (ambientes). Pode refinar este acesso
especificando funções de utilizador por ambiente na IU do Apigee.
O controlo de acesso na Google Cloud Platform é controlado pela gestão de identidade e de acesso (IAM). O IAM permite-lhe definir autorizações que especificam quem tem que tipo de acesso a que recursos no seu projeto. Para mais informações, consulte Conceitos relacionados com a identidade.
Os utilizadores são um tipo de principal, um termo geral que se refere a uma identidade à qual pode ser concedido
acesso a recursos. Outros tipos de principais da nuvem incluem contas de serviço, grupos Google e domínios do G Suite. Para mais informações, consulte
esta vista geral do Cloud Identity e da
gestão de acesso.
Acesso ao ambiente: a concessão de uma função de utilizador para um ambiente específico não substitui as funções definidas ao nível do projeto do Google Cloud. Ao nível do ambiente,
as funções concedidas a um utilizador são representadas como uma união com quaisquer funções do Google Cloud atribuídas ao utilizador.
Por exemplo, se definir um utilizador como API Admin no projeto do Google Cloud, esse utilizador tem acesso, como API Admin, a todos os ambientes na sua organização.
Recomendações de funções
A Apigee recomenda que faça o seguinte para cada nova conta de utilizador que adicionar. (Quando adiciona superutilizadores ou administradores, isto não é necessário):
Na consola, adicione a nova conta de utilizador e selecione uma função com um conjunto mínimo de autorizações. Por exemplo, defina a função de um novo utilizador como API Admin. Consulte o artigo Gerir o acesso no Google Cloud.
Na vista Acesso ao ambiente da IU do Apigee, adicione o utilizador e defina quaisquer funções de utilizador adicionais para cada ambiente na organização, conforme descrito em Gerir utilizadores. Tenha em atenção
que as funções com âmbito de ambiente definidas na IU do Apigee não substituem as funções definidas ao nível do Google Cloud,
são aditivas.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-21 UTC."],[[["\u003cp\u003eThis document applies to both Apigee and Apigee hybrid, and it details how to manage user accounts within an Apigee organization.\u003c/p\u003e\n"],["\u003cp\u003eAdding a new user involves assigning roles in both the Google Cloud project and the Apigee UI, granting them access to organization-wide resources and specific environments, respectively.\u003c/p\u003e\n"],["\u003cp\u003eRoles assigned at the Google Cloud project level provide broad access across all environments, while roles assigned in the Apigee UI offer additive, environment-specific permissions.\u003c/p\u003e\n"],["\u003cp\u003eApigee recommends assigning minimal permissions at the Cloud project level and then refining access in the Apigee UI for each specific environment, ensuring a granular control over user access.\u003c/p\u003e\n"],["\u003cp\u003eUser roles determine the capabilities a user has, based on a collection of permissions, such as creating API proxies, deploying, and undeploying API proxy revisions.\u003c/p\u003e\n"]]],[],null,["# Users and roles\n\n*This page\napplies to **Apigee** and **Apigee hybrid**.*\n\n\n*View [Apigee Edge](https://docs.apigee.com/api-platform/get-started/what-apigee-edge) documentation.*\n\nA *user* represents an authenticated account that can access an organization and the\nentities within that organization, such as the environments, API proxies, and keystores.\n\nTo add a new user to your Apigee organization, you grant access to the user's *account,* first in the Cloud project and then in the Apigee UI. (This document uses the terms *user*\nand *user account* interchangeably.)\n\nWhen you add a new user, you typically:\n\n1. **In the Console** , assign the new user to one or more roles in your Cloud project. This gives the user broad access to all environments in the organization.\n\n For more information, see\n [Managing access in the\n Console](/apigee/docs/api-platform/system-administration/manage-access).\n2. **In the Apigee UI** , grant additional user roles in one or more environments in your Apigee organization. Note that environment-scoped user roles do not supersede roles granted at the Google Cloud level; they are additive.\n\n For more information, see\n [Manage users in the\n Apigee UI](/apigee/docs/api-platform/system-administration/manage-users).\n\n| **Note:** You do not have to assign the same role for a user in the Apigee UI for each environment that you assigned to the user for the Cloud project.\n\nAbout roles\n-----------\n\nThe capabilities that you grant to the user account depend on the type of *role* that you\nassign to them. A role is a collection of [permissions](/iam/docs/overview#permissions).\nYou cannot grant a permission to the user directly. Instead, you grant them a role. For\nexample, you might assign a developer to the role of `API Admin` so that\nthey can create API proxies, , and shared flows. For someone that will deploy\nproxies, you might assign them to the role of `Environment Admin`, which grants them the ability to\ndeploy and undeploy API proxy revisions. For details about all Apigee roles, see\n[Apigee roles](/apigee/docs/api-platform/system-administration/apigee-roles).\n\nAdditionally, the resources that a user can access based on their role depends on *where*\nyou assigned the role:\n\n- **Google Cloud project** - If you assign a role in the Console (on the Google Cloud project), then the user can access all Apigee resources---*all environments and resources within\n those environments* ---in that role. This is because the Cloud project is the *parent* of the Apigee UI in the resource hierarchy; the permissions set on the parent (the Cloud project) are inherited by all children (environments). You can refine this access by specifying user roles on a *per environment* basis in the Apigee UI.\n\n Access control in Google Cloud Platform is controlled by Identity and Access Management\n (IAM). IAM lets you set permissions specifying **who** has\n **what** kind of access to **which** resources in your project. For\n more information, see [Concepts related to\n identity](/iam/docs/overview#concepts_related_identity).\n\n Users are a type of *principal* , a broad term that refers to an identity that can be granted\n access to resources. Other types of Cloud principals include service accounts, Google groups, and G Suite\n domains. For more information, see\n [this overview](/iam/docs/overview#concepts_related_identity) of Cloud Identity and\n Access Management.\n- **Environment access** - Granting a user role for a specific environment does not supersede roles set at the Google Cloud project level. At the environment level, roles granted to a user are represented as a union with any Cloud roles assigned to the user.\n\nFor example, if you define a user as an `API Admin` on the Cloud project, then that user will have access---as an\n`API Admin`--- to all environments in your organization.\n\n### Role recommendations\n\nApigee recommends that you do the following for each new user account that you add. (When adding\n*super users* or administrators, this is not necessary.):\n\n1. In the Console, add the new user account and select a role that has a minimal set of permissions. For example, set the role of a new user to `API Admin`. See [Managing access in Google Cloud](/apigee/docs/api-platform/system-administration/manage-access).\n2. In the Apigee UI's **Environment Access** view, add the user and set any additional user roles for each environment in the organization as described in [Manage users](/apigee/docs/api-platform/system-administration/manage-users). Note that environment-scoped roles set in the Apigee UI do not supersede roles set at the Google Cloud level, they are additive.\n\n*[KVM]: Key Value Map"]]
