Utilisateurs et rôles

Vous consultez la documentation d'Apigee X.
Consultez la documentation d'Apigee Edge.

Un utilisateur représente un compte authentifié qui peut accéder à une organisation et aux entités de cette organisation, telles que les environnements, les proxys d'API et les keystores.

Pour ajouter un nouvel utilisateur à votre organisation Apigee, vous devez d'abord accorder l'accès au compte de cet utilisateur dans le projet Cloud, puis dans l'UI Apigee. (Ce document utilise les termes utilisateur et compte utilisateur indistinctement.)

Lorsque vous ajoutez un nouvel utilisateur, vous devez généralement effectuer les opérations suivantes :

  1. Dans la console, attribuez le nouvel utilisateur à un ou plusieurs rôles dans votre projet Cloud. L'utilisateur bénéficie ainsi d'un accès étendu à tous les environnements de l'organisation.

    Pour en savoir plus, consultez la page Gérer les accès dans la console.

  2. Dans l'UI Apigee, affinez l'accès du nouvel utilisateur en spécifiant un ou plusieurs rôles par environnement dans votre organisation Apigee.

    Pour plus d'informations, consultez la page Gérer les utilisateurs dans l'interface utilisateur d'Apigee.

À propos de l'héritage des rôles

Les fonctionnalités que vous attribuez au compte utilisateur dépendent du type de rôle que vous lui accordez. Par exemple, vous pouvez attribuer le rôle API Admin à un développeur afin qu'il puisse créer des proxys d'API, des KVM et des flux partagés. Vous pouvez attribuer à un utilisateur qui déploie des proxys le rôle Environment Admin, ce qui lui permet de déployer des révisions de proxy d'API et d'en annuler le déploiement. Pour en savoir plus sur tous les rôles Apigee, consultez la page Rôles Apigee.

En outre, les ressources auxquelles un utilisateur peut accéder en fonction de son rôle dépendent de l'endroit où vous avez attribué ce rôle :

  • Projet Cloud : si vous attribuez un rôle dans la Console (sur le projet Cloud), l'utilisateur peut accéder à toutes les ressources Apigee (tous les environnements et les ressources qu'ils contiennent) dans ce rôle. En effet, le projet Cloud est le parent de l'UI Apigee dans la hiérarchie des ressources. Les autorisations définies sur le parent (le projet Cloud) sont héritées par tous les enfants (environnements). Vous pouvez affiner cet accès en spécifiant des rôles utilisateur par environnement dans l'UI Apigee.
  • Accès par environnement : si vous attribuez un rôle dans l'UI Apigee, l'utilisateur possède ce rôle uniquement pour l'environnement sélectionné. Cette attribution remplace les paramètres au niveau du projet Cloud. Toutefois, ces attributions de rôles ne s'appliquent qu'aux environnements sélectionnés. Les attributions de rôles pour tous les autres environnements continuent d'hériter des paramètres du projet Cloud.

L'image suivante montre le fonctionnement de l'héritage avec ce modèle d'accès :

Héritage des projets et des environnements

Lorsque vous ajoutez un rôle spécifique à un utilisateur à l'un de ces niveaux, il a accès par défaut à toutes les ressources situées sous ce niveau. Comme un environnement est considéré comme une ressource sous le projet Cloud, les autorisations définies sur le projet Cloud s'appliquent à tous les environnements, sauf si vous spécifiez des autorisations plus précises pour l'environnement dans l'UI Apigee.

Par exemple, si vous définissez un utilisateur en tant que API Admin sur le projet Cloud uniquement, sans spécifier les rôles par environnement dans l'interface utilisateur d'Apigee, cet utilisateur aura accès (en tant que API Admin) à tous les environnements de votre organisation.

Recommandations concernant les rôles

Apigee vous recommande d'appliquer la procédure suivante pour chaque nouveau compte utilisateur que vous ajoutez. (Lorsque vous ajoutez des super-utilisateurs ou des administrateurs, cette opération n'est pas nécessaire.) :

  1. Dans la console Cloud, ajoutez le nouveau compte utilisateur et sélectionnez un rôle doté d'un ensemble minimal d'autorisations. Par exemple, définissez le rôle d'un nouvel utilisateur sur API Admin.
  2. Dans la vue Accès par environnement de l'UI Apigee, ajoutez l'utilisateur et définissez les rôles appropriés pour chaque environnement de l'organisation, comme décrit sur la page Gérer les utilisateurs. Vous pouvez ainsi appliquer des autorisations plus précises après avoir accordé à l'utilisateur l'accès au projet dans la console Cloud.

Rappel : Pour indiquer qu'un utilisateur ne doit disposer que d'autorisations sur certains environnements, attribuez un rôle approprié sur l'environnement dans l'UI Apigee après avoir ajouté cet utilisateur au projet dans la console Cloud.

À propos du contrôle des accès au cloud

Le contrôle des accès dans Google Cloud Platform est assuré par Cloud Identity and Access Management (Cloud IAM). Cloud IAM vous permet de définir des autorisations spécifiant qui dispose de quel type d'accès à quelles ressources dans votre projet. Pour en savoir plus, consultez la page Concepts liés à l'identité.

Les utilisateurs sont un type de membre, un terme générique faisant référence à une identité pouvant être autorisée à accéder aux ressources. Les autres types de membres Cloud incluent les comptes de service, les groupes Google et les domaines G Suite. Pour en savoir plus, consultez cette présentation de Cloud Identity and Access Management.