Usuarios y funciones

Esta página se aplica a Apigee y Apigee Hybrid.

Consulta la documentación de Apigee Edge.

Un usuario representa una cuenta autenticada que puede acceder a una organización y a las entidades dentro de esa organización, como los entornos, los proxies de API y los almacenes de claves.

Para agregar un usuario nuevo a tu organización de Apigee, debes otorgar acceso a la cuenta del usuario, primero en el proyecto de Cloud y, luego, en la IU de Apigee. (Este documento utiliza los términos usuario y cuenta de usuario de forma intercambiable).

Por lo general, cuando agrega un usuario nuevo:

  1. En la consola, asigna al usuario nuevo una o más funciones en el proyecto de Cloud. Esto le da al usuario un acceso amplio a todos los entornos de la organización.

    Para obtener más información, consulta Administra el acceso en la consola.

  2. En la IU de Apigee, otorga roles de usuario adicionales en uno o más entornos de tu organización de Apigee. Ten en cuenta que los roles de usuario con alcance de entorno no sustituyen los roles otorgados a nivel de Google Cloud, sino que se suman.

    Para obtener más información, consulta Administra usuarios en la IU de Apigee.

Acerca de las funciones

Las capacidades que otorgas a la cuenta de usuario dependen del tipo de rol que les asignas. Un rol es un conjunto de permisos. No puedes otorgar un permiso directamente al usuario. En su lugar, les otorgas una función. Por ejemplo, puedes asignar un desarrollador al rol de API Admin para que pueda crear proxies de API, KVM y flujos compartidos. Para alguien que implementará proxies, puedes asignarlos al rol de Environment Admin, lo que les permite implementar y anular la implementación de revisiones del proxy de API. Para obtener detalles sobre todos los roles de Apigee, consulta Roles de Apigee.

Además, los recursos a los que puede acceder un usuario según su función dependen de dónde se asignó la función:

  • Proyecto de Cloud: Si asignas un rol en la consola (en el proyecto de Cloud), el usuario puede acceder a todos los recursos de Apigee (todos los entornos y recursos dentro de esos entornos) en ese rol. Esto se debe a que el proyecto de Cloud es el superior de la IU de Apigee en la jerarquía de recursos. Los permisos establecidos en el superior (el proyecto de Cloud) son heredados por todos los elementos secundarios (entornos). Puedes definir mejor este acceso si especificas las funciones del usuario por entorno en la IU de Apigee.

    El control de acceso en Google Cloud Platform se controla mediante Identity and Access Management (IAM). IAM te permite establecer permisos mediante la especificación de quién tiene qué tipo de acceso a qué recursos de tu proyecto. Si quieres obtener más información, consulta Conceptos relacionados con la identidad.

    Los usuarios son un tipo de principal, un término amplio que hace referencia a una identidad a la que se le puede otorgar acceso a los recursos. Otros tipos de principales de Cloud incluyen cuentas de servicio, Grupos de Google y dominios de G Suite. Para obtener más información, consulta esta descripción general de Cloud Identity and Access Management.

  • Acceso al entorno: Otorgar un rol de usuario para un entorno específico no reemplaza los roles establecidos a nivel de proyecto de Google Cloud. A nivel del entorno, los roles otorgados a un usuario se representan como una unión con cualquier rol de Cloud asignado al usuario.

Por ejemplo, si defines un usuario como API Admin en el proyecto de Cloud, ese usuario tendrá acceso, como un API Admin, a todos los entornos de tu organización.

Recomendaciones de funciones

Apigee recomienda que hagas lo siguiente para cada cuenta de usuario nueva que agregues. (Esta acción no es necesaria cuando agregas superusuarios o administradores).

  1. En la consola, agrega la cuenta de usuario nueva y selecciona una función que tenga un conjunto mínimo de permisos. Por ejemplo, establece la función de un usuario nuevo en API Admin.
  2. En la vista Acceso al entorno de la IU de Apigee, agrega el usuario y configura cualquier rol de usuario adicional para cada entorno de la organización, como se describe en Administra usuarios. Ten en cuenta que los roles con permiso de entorno establecidos en la IU de Apigee no sustituyen los roles establecidos a nivel de Google Cloud, sino que se suman.