Un usuario representa una cuenta autenticada que puede acceder a una organización y a las entidades de esa organización, como los entornos, los proxies de API y los almacenes de claves.
Para añadir un nuevo usuario a tu organización de Apigee, primero debes conceder acceso a su cuenta
en el proyecto de Cloud y, después, en la interfaz de usuario de Apigee. En este documento se utilizan indistintamente los términos usuario y cuenta de usuario.
Cuando añades un usuario nuevo, normalmente haces lo siguiente:
En la consola, asigna al nuevo usuario uno o varios roles en tu proyecto de Cloud. De esta forma, el usuario tendrá acceso a todos los entornos de la organización.
En la interfaz de usuario de Apigee, asigna roles de usuario adicionales en uno o varios entornos de tu organización de Apigee. Ten en cuenta que los roles de usuario definidos en un entorno no sustituyen a los roles concedidos a nivel de Google Cloud, sino que se suman a ellos.
Las funciones que concedas a la cuenta de usuario dependen del tipo de rol que le asignes. Un rol es un conjunto de permisos.
No puedes conceder el permiso al usuario directamente. En su lugar, les asignas un rol. Por ejemplo, puedes asignar a un desarrollador el rol de API Admin para que pueda crear proxies de API, KVM y flujos compartidos. Si quieres que un usuario pueda implementar proxies, puedes asignarle el rol Environment Admin, que le permite implementar y retirar revisiones de proxies de API. Para obtener información sobre todos los roles de Apigee, consulta Roles de Apigee.
Además, los recursos a los que puede acceder un usuario en función de su rol dependen de dónde
le hayas asignado el rol:
Proyecto de Google Cloud: si asignas un rol en la consola (en el proyecto de Google Cloud), el usuario podrá acceder a todos los recursos de Apigee (todos los entornos y recursos de esos entornos) con ese rol. Esto se debe a que el proyecto de Cloud es el elemento superior de la interfaz de usuario de Apigee en la jerarquía de recursos. Los permisos definidos en el elemento superior (el proyecto de Cloud) se heredan en todos los elementos secundarios (los entornos). Puedes acotar este acceso especificando roles de usuario por entorno en la interfaz de usuario de Apigee.
El control de acceso en Google Cloud Platform se gestiona mediante Gestión de Identidades y Accesos (IAM). IAM te permite definir permisos que especifican quién tiene qué tipo de acceso a qué recursos de tu proyecto. Para obtener más información, consulta los conceptos relacionados con la identidad.
Los usuarios son un tipo de entidad principal, un término general que hace referencia a una identidad a la que se le puede conceder acceso a los recursos. Otros tipos de principales de Cloud son las cuentas de servicio, los grupos de Google y los dominios de G Suite. Para obtener más información, consulta esta descripción general de Gestión de Identidades y Accesos de Cloud.
Acceso al entorno: si se asigna un rol de usuario a un entorno específico, no se sustituyen los roles definidos a nivel de proyecto de Google Cloud. En el nivel de entorno,
los roles concedidos a un usuario se representan como una unión con los roles de Cloud asignados al usuario.
Por ejemplo, si defines a un usuario como API Admin en el proyecto de Cloud, ese usuario tendrá acceso (como API Admin) a todos los entornos de tu organización.
Recomendaciones de roles
Apigee recomienda que hagas lo siguiente con cada cuenta de usuario nueva que añadas. No es necesario si añades superusuarios o administradores.
En la consola, añade la nueva cuenta de usuario y selecciona un rol que tenga un conjunto mínimo de permisos. Por ejemplo, asigna el rol API Admin a un nuevo usuario. Consulta Gestionar el acceso en Google Cloud.
En la vista Acceso al entorno de la interfaz de usuario de Apigee, añade el usuario y define los roles de usuario adicionales para cada entorno de la organización, tal como se describe en Gestionar usuarios. Ten en cuenta que los roles definidos en la interfaz de usuario de Apigee que tienen un ámbito de entorno no sustituyen a los roles definidos a nivel de Google Cloud, sino que se suman a ellos.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)."],[[["\u003cp\u003eThis document applies to both Apigee and Apigee hybrid, and it details how to manage user accounts within an Apigee organization.\u003c/p\u003e\n"],["\u003cp\u003eAdding a new user involves assigning roles in both the Google Cloud project and the Apigee UI, granting them access to organization-wide resources and specific environments, respectively.\u003c/p\u003e\n"],["\u003cp\u003eRoles assigned at the Google Cloud project level provide broad access across all environments, while roles assigned in the Apigee UI offer additive, environment-specific permissions.\u003c/p\u003e\n"],["\u003cp\u003eApigee recommends assigning minimal permissions at the Cloud project level and then refining access in the Apigee UI for each specific environment, ensuring a granular control over user access.\u003c/p\u003e\n"],["\u003cp\u003eUser roles determine the capabilities a user has, based on a collection of permissions, such as creating API proxies, deploying, and undeploying API proxy revisions.\u003c/p\u003e\n"]]],[],null,["# Users and roles\n\n*This page\napplies to **Apigee** and **Apigee hybrid**.*\n\n\n*View [Apigee Edge](https://docs.apigee.com/api-platform/get-started/what-apigee-edge) documentation.*\n\nA *user* represents an authenticated account that can access an organization and the\nentities within that organization, such as the environments, API proxies, and keystores.\n\nTo add a new user to your Apigee organization, you grant access to the user's *account,* first in the Cloud project and then in the Apigee UI. (This document uses the terms *user*\nand *user account* interchangeably.)\n\nWhen you add a new user, you typically:\n\n1. **In the Console** , assign the new user to one or more roles in your Cloud project. This gives the user broad access to all environments in the organization.\n\n For more information, see\n [Managing access in the\n Console](/apigee/docs/api-platform/system-administration/manage-access).\n2. **In the Apigee UI** , grant additional user roles in one or more environments in your Apigee organization. Note that environment-scoped user roles do not supersede roles granted at the Google Cloud level; they are additive.\n\n For more information, see\n [Manage users in the\n Apigee UI](/apigee/docs/api-platform/system-administration/manage-users).\n\n| **Note:** You do not have to assign the same role for a user in the Apigee UI for each environment that you assigned to the user for the Cloud project.\n\nAbout roles\n-----------\n\nThe capabilities that you grant to the user account depend on the type of *role* that you\nassign to them. A role is a collection of [permissions](/iam/docs/overview#permissions).\nYou cannot grant a permission to the user directly. Instead, you grant them a role. For\nexample, you might assign a developer to the role of `API Admin` so that\nthey can create API proxies, , and shared flows. For someone that will deploy\nproxies, you might assign them to the role of `Environment Admin`, which grants them the ability to\ndeploy and undeploy API proxy revisions. For details about all Apigee roles, see\n[Apigee roles](/apigee/docs/api-platform/system-administration/apigee-roles).\n\nAdditionally, the resources that a user can access based on their role depends on *where*\nyou assigned the role:\n\n- **Google Cloud project** - If you assign a role in the Console (on the Google Cloud project), then the user can access all Apigee resources---*all environments and resources within\n those environments* ---in that role. This is because the Cloud project is the *parent* of the Apigee UI in the resource hierarchy; the permissions set on the parent (the Cloud project) are inherited by all children (environments). You can refine this access by specifying user roles on a *per environment* basis in the Apigee UI.\n\n Access control in Google Cloud Platform is controlled by Identity and Access Management\n (IAM). IAM lets you set permissions specifying **who** has\n **what** kind of access to **which** resources in your project. For\n more information, see [Concepts related to\n identity](/iam/docs/overview#concepts_related_identity).\n\n Users are a type of *principal* , a broad term that refers to an identity that can be granted\n access to resources. Other types of Cloud principals include service accounts, Google groups, and G Suite\n domains. For more information, see\n [this overview](/iam/docs/overview#concepts_related_identity) of Cloud Identity and\n Access Management.\n- **Environment access** - Granting a user role for a specific environment does not supersede roles set at the Google Cloud project level. At the environment level, roles granted to a user are represented as a union with any Cloud roles assigned to the user.\n\nFor example, if you define a user as an `API Admin` on the Cloud project, then that user will have access---as an\n`API Admin`--- to all environments in your organization.\n\n### Role recommendations\n\nApigee recommends that you do the following for each new user account that you add. (When adding\n*super users* or administrators, this is not necessary.):\n\n1. In the Console, add the new user account and select a role that has a minimal set of permissions. For example, set the role of a new user to `API Admin`. See [Managing access in Google Cloud](/apigee/docs/api-platform/system-administration/manage-access).\n2. In the Apigee UI's **Environment Access** view, add the user and set any additional user roles for each environment in the organization as described in [Manage users](/apigee/docs/api-platform/system-administration/manage-users). Note that environment-scoped roles set in the Apigee UI do not supersede roles set at the Google Cloud level, they are additive.\n\n*[KVM]: Key Value Map"]]
