このページは Apigee と Apigee ハイブリッドに適用されます。
Apigee Edge ドキュメントを表示する
ユーザーは、組織、組織内のエンティティ(環境、API プロキシ、キーストアなど)にアクセスできる認証されたアカウントを表します。
Apigee 組織に新しいユーザーを追加するには、まず Cloud プロジェクトで、次に Apigee UI でユーザーのアカウントにアクセス権を付与します(このドキュメントでは、ユーザーとユーザー アカウントを同じ意味で使用しています)。
新しいユーザーを追加する場合は通常、次のことを行います。
- コンソールで、Cloud プロジェクト内の 1 つ以上のロールに新しいユーザーを割り当てます。これにより、ユーザーは組織内のすべての環境に幅広くアクセスできます。
詳細については、コンソールでのアクセスの管理をご覧ください。
- Apigee UI で、Apigee 組織内の 1 つ以上の環境で追加のユーザーロールを付与します。環境スコープのユーザーロールは付加的なものであるため、Google Cloud レベルで付与されたロールより優先されることはありません。
詳細については、Apigee UI でユーザーを管理するをご覧ください。
ロールについて
ユーザー アカウントに付与する機能は、ユーザーに割り当てたロールの種類によって異なります。ロールは権限の集合です。ユーザーに直接権限を付与することはできません。代わりに、ロールを付与します。たとえば、API プロキシ、KVM、共有フローを作成できるように、API Admin のロールにデベロッパーを割り当てることができます。プロキシをデプロイするユーザーには、Environment Admin のロールに割り当てることで、API プロキシ リビジョンのデプロイとデプロイ解除が可能になります。すべての Apigee のロールの詳細については、Apigee のロールをご覧ください。
また、ユーザーがロールに基づいてアクセスできるリソースは、そのロールを割り当てた場所によって異なります。
- Google Cloud プロジェクト -(Google Cloud プロジェクトの)コンソールでロールを割り当てると、ユーザーはその割り当てられたロールのすべての Apigee リソース(すべての環境とその環境内のすべてのリソース)にアクセスできます。これは、リソース階層で、Cloud プロジェクトが Apigee UI の親であるためです。親(Cloud プロジェクト)に設定された権限は、すべての子(環境)によって継承されます。このアクセスを絞り込むには、Apigee UI で環境ごとにユーザー ロールを指定します。
Google Cloud Platform 内のアクセス制御は Identity and Access Management(IAM)を使用して制御します。IAM を使用すると、プロジェクト内の誰がどのようなアクセス権限でどのリソースにアクセスできるのかを設定できます。詳細については、ID に関するコンセプトをご覧ください。
ユーザーはプリンシパルの一種で、リソースへのアクセスを許可できる ID を指す広義語です。その他の種類の Cloud プリンシパルには、サービス アカウント、Google グループ、G Suite ドメインが含まれます。詳細については、Cloud Identity And Access Management の概要をご覧ください。
- 環境へのアクセス - 特定の環境にユーザーロールを付与しても、Google Cloud プロジェクト レベルで設定されたロールより優先されません。環境レベルでは、ユーザーに付与されたロールはそのユーザーに割り当てられた Cloud ロールとのユニオンとして表されます。
たとえば、Cloud プロジェクトで API Admin としてユーザーを定義すると、そのユーザーは組織内のすべての環境に API Admin としてアクセスできます。
ロールの推奨事項
追加する新しいユーザー アカウントごとに、次の操作を行うことをおすすめします(スーパー ユーザーや管理者を追加する場合は不要です)。
- コンソールで新しいユーザー アカウントを追加し、最小限の権限を持つロールを選択します。たとえば、新しいユーザーのロールを
API Adminに設定します。 - Apigee UI の [Environment Access] ビューでユーザーを追加し、ユーザーの管理の説明に沿って、組織内の各環境に適した追加のユーザーロールを設定します。Apigee UI で設定された環境スコープのロールは付加的なものであるため、Google Cloud レベルで設定されたロールよりも優先されません。