Ein Nutzer stellt ein authentifiziertes Konto dar, das auf eine Organisation und die Entitäten innerhalb dieser Organisation zugreifen kann, z. B. auf die Umgebungen, API-Proxys und Schlüsselspeicher.
Wenn Sie Ihrer Apigee-Organisation einen neuen Nutzer hinzufügen möchten, gewähren Sie ihm zuerst im Cloud-Projekt und dann in der Apigee-UI Zugriff auf das Konto des Nutzers. In diesem Dokument werden die Begriffe Nutzer und Nutzerkonto synonym verwendet.
Wenn Sie einen neuen Nutzer hinzufügen, geschieht Folgendes:
Weisen Sie dem neuen Nutzer in der Console eine oder mehrere Rollen in Ihrem Cloud-Projekt zu. Dadurch erhält der Nutzer umfassenden Zugriff auf alle Umgebungen in der Organisation.
Gewähren Sie in der Apigee-Benutzeroberfläche zusätzliche Nutzerrollen in einer oder mehreren Umgebungen in Ihrer Apigee-Organisation. Beachten Sie, dass umgebungsbezogene Nutzerrollen keine auf der Google Cloud-Ebene zugewiesenen Rollen haben, sondern additiv sind.
Welche Funktionen Sie dem Nutzerkonto gewähren, hängt von der Art der Rolle ab, die Sie ihm zuweisen. Eine Rolle ist eine Sammlung von Berechtigungen.
Sie können dem Nutzer eine Berechtigung nicht direkt zuweisen. Stattdessen weisen Sie ihm eine Rolle zu. Sie können beispielsweise einem Entwickler die API Admin-Rolle zuweisen, damit dieser API-Proxys, KVM und gemeinsam genutzte Abläufe erstellen kann. Personen, die Proxys bereitstellen, können Sie die Environment Admin-Rolle zuweisen, mit denen sie API-Proxy-Revisionen bereitstellen und deren Bereitstellung wieder aufheben können. Weitere Informationen zu allen Apigee-Rollen finden Sie unter Apigee-Rollen.
Welche Ressourcen ein Nutzer basierend auf seiner Rolle aufrufen kann, hängt davon ab, wo Sie die Rolle zugewiesen haben:
Cloud-Projekt: Wenn Sie in der Console eine Rolle zuweisen (im Cloud-Projekt), kann der Nutzer auf alle Apigee-Ressourcen, d.h. alle Umgebungen und Ressourcen innerhalb dieser Umgebungen, in dieser Rolle zugreifen. Dies liegt daran, dass das Cloud-Projekt das übergeordnete Apigee-Benutzeroberfläche in der Ressourcenhierarchie ist. Die für das übergeordnete Projekt (das Cloud-Projekt) festgelegten Berechtigungen werden von allen untergeordneten (Umgebungen) übernommen. Sie können diesen Zugriff einschränken, indem Sie Nutzerrollen pro Umgebung in der Apigee-Benutzeroberfläche angeben.
Die Zugriffskontrolle in Google Cloud Platform wird mit Google Cloud-Identitäts- und Zugriffsverwaltung (IAM) gesteuert. Mit Cloud IAM können Sie Berechtigungen festlegen, um anzugeben, werwelche Art von Zugriff auf bestimmte Ressourcen in Ihrem Projekt hat. Weitere Informationen finden Sie unter Identitätskonzepte.
Nutzer sind eine Art von Hauptkonto. Dies ist ein allgemeiner Begriff, der sich auf eine Identität bezieht, der Zugriff auf Ressourcen gewährt wird. Weitere Arten von Cloud-Hauptkonten sind Dienstkonten, Google-Gruppen und G Suite-Domains. Weitere Informationen finden Sie in dieser Übersicht zu Cloud Identity and Access Management.
Umgebungszugriff: Die Zuweisung einer Nutzerrolle für eine bestimmte Umgebung hat keine Auswirkungen auf Rollen, die auf Google Cloud-Projektebene festgelegt wurden. Auf der Umgebungsebene werden einem Nutzer zugewiesene Rollen als Vereinigung aller Cloud-Rollen dargestellt, die dem Nutzer zugewiesen sind.
Wenn Sie beispielsweise einen Nutzer als API Admin im Cloud-Projekt definieren, hat dieser Nutzer Zugriff als API Admin an alle Umgebungen in Ihrer Organisation.
Rollenempfehlungen
Apigee empfiehlt, dass Sie für jedes neu hinzugefügte Nutzerkonto folgende Schritte ausführen. Dies ist nicht erforderlich, wenn Sie Supernutzer oder Administratoren hinzufügen:
Fügen Sie in der Konsole das neue Nutzerkonto hinzu und wählen Sie eine Rolle mit minimalen Berechtigungen aus. Legen Sie beispielsweise einen neuen Nutzer auf API Admin fest. Weitere Informationen finden Sie unter Zugriff in Google Cloud verwalten.
Fügen Sie den Nutzer in der Ansicht Umgebungszugriff der Apigee-Benutzeroberfläche hinzu und legen Sie alle zusätzlichen Nutzerrollen für jede Umgebung in der Organisation fest, wie unter Nutzer verwalten beschrieben. Beachten Sie, dass in der Apigee-Benutzeroberfläche festgelegte umgebungsbezogene Rollen keine auf der Google Cloud-Ebene festgelegten Rollen ersetzen. Sie sind additiv.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-05 (UTC)."],[[["\u003cp\u003eThis document applies to both Apigee and Apigee hybrid, and it details how to manage user accounts within an Apigee organization.\u003c/p\u003e\n"],["\u003cp\u003eAdding a new user involves assigning roles in both the Google Cloud project and the Apigee UI, granting them access to organization-wide resources and specific environments, respectively.\u003c/p\u003e\n"],["\u003cp\u003eRoles assigned at the Google Cloud project level provide broad access across all environments, while roles assigned in the Apigee UI offer additive, environment-specific permissions.\u003c/p\u003e\n"],["\u003cp\u003eApigee recommends assigning minimal permissions at the Cloud project level and then refining access in the Apigee UI for each specific environment, ensuring a granular control over user access.\u003c/p\u003e\n"],["\u003cp\u003eUser roles determine the capabilities a user has, based on a collection of permissions, such as creating API proxies, deploying, and undeploying API proxy revisions.\u003c/p\u003e\n"]]],[],null,["# Users and roles\n\n*This page\napplies to **Apigee** and **Apigee hybrid**.*\n\n\n*View [Apigee Edge](https://docs.apigee.com/api-platform/get-started/what-apigee-edge) documentation.*\n\nA *user* represents an authenticated account that can access an organization and the\nentities within that organization, such as the environments, API proxies, and keystores.\n\nTo add a new user to your Apigee organization, you grant access to the user's *account,* first in the Cloud project and then in the Apigee UI. (This document uses the terms *user*\nand *user account* interchangeably.)\n\nWhen you add a new user, you typically:\n\n1. **In the Console** , assign the new user to one or more roles in your Cloud project. This gives the user broad access to all environments in the organization.\n\n For more information, see\n [Managing access in the\n Console](/apigee/docs/api-platform/system-administration/manage-access).\n2. **In the Apigee UI** , grant additional user roles in one or more environments in your Apigee organization. Note that environment-scoped user roles do not supersede roles granted at the Google Cloud level; they are additive.\n\n For more information, see\n [Manage users in the\n Apigee UI](/apigee/docs/api-platform/system-administration/manage-users).\n\n| **Note:** You do not have to assign the same role for a user in the Apigee UI for each environment that you assigned to the user for the Cloud project.\n\nAbout roles\n-----------\n\nThe capabilities that you grant to the user account depend on the type of *role* that you\nassign to them. A role is a collection of [permissions](/iam/docs/overview#permissions).\nYou cannot grant a permission to the user directly. Instead, you grant them a role. For\nexample, you might assign a developer to the role of `API Admin` so that\nthey can create API proxies, , and shared flows. For someone that will deploy\nproxies, you might assign them to the role of `Environment Admin`, which grants them the ability to\ndeploy and undeploy API proxy revisions. For details about all Apigee roles, see\n[Apigee roles](/apigee/docs/api-platform/system-administration/apigee-roles).\n\nAdditionally, the resources that a user can access based on their role depends on *where*\nyou assigned the role:\n\n- **Google Cloud project** - If you assign a role in the Console (on the Google Cloud project), then the user can access all Apigee resources---*all environments and resources within\n those environments* ---in that role. This is because the Cloud project is the *parent* of the Apigee UI in the resource hierarchy; the permissions set on the parent (the Cloud project) are inherited by all children (environments). You can refine this access by specifying user roles on a *per environment* basis in the Apigee UI.\n\n Access control in Google Cloud Platform is controlled by Identity and Access Management\n (IAM). IAM lets you set permissions specifying **who** has\n **what** kind of access to **which** resources in your project. For\n more information, see [Concepts related to\n identity](/iam/docs/overview#concepts_related_identity).\n\n Users are a type of *principal* , a broad term that refers to an identity that can be granted\n access to resources. Other types of Cloud principals include service accounts, Google groups, and G Suite\n domains. For more information, see\n [this overview](/iam/docs/overview#concepts_related_identity) of Cloud Identity and\n Access Management.\n- **Environment access** - Granting a user role for a specific environment does not supersede roles set at the Google Cloud project level. At the environment level, roles granted to a user are represented as a union with any Cloud roles assigned to the user.\n\nFor example, if you define a user as an `API Admin` on the Cloud project, then that user will have access---as an\n`API Admin`--- to all environments in your organization.\n\n### Role recommendations\n\nApigee recommends that you do the following for each new user account that you add. (When adding\n*super users* or administrators, this is not necessary.):\n\n1. In the Console, add the new user account and select a role that has a minimal set of permissions. For example, set the role of a new user to `API Admin`. See [Managing access in Google Cloud](/apigee/docs/api-platform/system-administration/manage-access).\n2. In the Apigee UI's **Environment Access** view, add the user and set any additional user roles for each environment in the organization as described in [Manage users](/apigee/docs/api-platform/system-administration/manage-users). Note that environment-scoped roles set in the Apigee UI do not supersede roles set at the Google Cloud level, they are additive.\n\n*[KVM]: Key Value Map"]]