ユーザーとロール

このページの内容は ApigeeApigee ハイブリッドに該当します。

Apigee Edge のドキュメントを表示する。

ユーザーは、組織、組織内のエンティティ(環境、API プロキシ、キーストアなど)にアクセスできる認証されたアカウントを表します。

Apigee 組織に新しいユーザーを追加するには、まず Cloud プロジェクトで、次に Apigee UI でユーザーのアカウントにアクセス権を付与します(このドキュメントでは、ユーザーとユーザー アカウントを同じ意味で使用しています)。

新しいユーザーを追加する場合は通常、次のことを行います。

  1. コンソールで、Cloud プロジェクト内の 1 つ以上のロールに新しいユーザーを割り当てます。これにより、ユーザーは組織内のすべての環境に幅広くアクセスできます。

    詳細については、コンソールでのアクセスの管理をご覧ください。

  2. Apigee UI で、Apigee 組織内の 1 つ以上の環境で追加のユーザーロールを付与します。環境スコープのユーザーロールは付加的なものであるため、Google Cloud レベルで付与されたロールより優先されることはありません。

    詳細については、Apigee UI でユーザーを管理するをご覧ください。

ロールについて

ユーザー アカウントに付与する機能は、ユーザーに割り当てたロールの種類によって異なります。ロールは権限の集合です。ユーザーに直接権限を付与することはできません。代わりに、ロールを付与します。たとえば、API プロキシ、KVM、共有フローを作成できるように、API Admin のロールにデベロッパーを割り当てることができます。プロキシをデプロイするユーザーには、Environment Admin のロールに割り当てることで、API プロキシ リビジョンのデプロイとデプロイ解除が可能になります。すべての Apigee のロールの詳細については、Apigee のロールをご覧ください。

また、ユーザーがロールに基づいてアクセスできるリソースは、そのロールを割り当てた場所によって異なります。

  • Google Cloud プロジェクト -(Google Cloud プロジェクトの)コンソールでロールを割り当てると、ユーザーはその割り当てられたロールのすべての Apigee リソース(すべての環境とその環境内のすべてのリソース)にアクセスできます。これは、リソース階層で、Cloud プロジェクトが Apigee UI の親であるためです。親(Cloud プロジェクト)に設定された権限は、すべての子(環境)によって継承されます。このアクセスを絞り込むには、Apigee UI で環境ごとにユーザー ロールを指定します。

    Google Cloud Platform 内のアクセス制御は Identity and Access Management(IAM)を使用して制御します。IAM を使用すると、プロジェクト内のどのようなアクセス権限でどのリソースにアクセスできるのかを設定できます。詳細については、ID に関するコンセプトをご覧ください。

    ユーザーはプリンシパルの一種で、リソースへのアクセスを許可できる ID を指す広義語です。その他の種類の Cloud プリンシパルには、サービス アカウント、Google グループ、G Suite ドメインが含まれます。詳細については、Cloud Identity And Access Management の概要をご覧ください。

  • 環境へのアクセス - 特定の環境にユーザーロールを付与しても、Google Cloud プロジェクト レベルで設定されたロールより優先されません。環境レベルでは、ユーザーに付与されたロールはそのユーザーに割り当てられた Cloud ロールとのユニオンとして表されます。

たとえば、Cloud プロジェクトで API Admin としてユーザーを定義すると、そのユーザーは組織内のすべての環境に API Admin としてアクセスできます。

ロールの推奨事項

追加する新しいユーザー アカウントごとに、次の操作を行うことをおすすめします(スーパー ユーザーや管理者を追加する場合は不要です)。

  1. コンソールで新しいユーザー アカウントを追加し、最小限の権限を持つロールを選択します。たとえば、新しいユーザーのロールを API Admin に設定します。
  2. Apigee UI の [Environment Access] ビューでユーザーを追加し、ユーザーの管理の説明に沿って、組織内の各環境に適した追加のユーザーロールを設定します。Apigee UI で設定された環境スコープのロールは付加的なものであるため、Google Cloud レベルで設定されたロールよりも優先されません。