本页面适用于 Apigee 和 Apigee Hybrid。
查看 Apigee Edge 文档。
“用户”代表可访问组织和组织内实体(如环境、API 代理和密钥库)的经过身份验证的账号。
如需向 Apigee 组织添加新用户,您可以授予对该 Cloud 项目中的账号的访问权限,然后在 Apigee 界面中授予权限。(本文档交替使用术语用户和用户账号。)
添加新用户时,您通常会:
- 在控制台中,将新用户分配给 Cloud 项目中的一个或多个角色。这样,用户便拥有对组织中所有环境的广泛访问权限。
如需了解详情,请参阅在控制台中管理访问权限。
- 在 Apigee 界面中,在 Apigee 组织中的一个或多个环境中授予额外的用户角色。请注意,环境范围的用户角色不会取代在 Google Cloud 级层授予的角色;它们是可加的。
如需了解详情,请参阅在 Apigee 界面中管理用户。
角色简介
您为用户账号授予的权限取决于您为其分配的角色类型。一个角色对应一组权限。您不能直接向用户授予权限,而是为用户授予角色。例如,您可以将开发者分配给 API Admin 角色,以便他们可以创建 API 代理、KVM 和共享流。对于将部署代理的用户,您可以将其分配给 Environment Admin 角色,这可授予他们部署和取消部署 API 代理修订版本的权限。如需详细了解所有 Apigee 角色,请参阅 Apigee 角色。
此外,用户根据其角色可以访问的资源还取决于您分配该角色的位置:
- Google Cloud 项目 - 如果您在控制台(Google Cloud 项目)中分配某个角色,则该角色的用户可以访问所有 Apigee 资源(所有环境以及其中的资源)。这是因为 Cloud 项目是资源层次结构中 Apigee 界面的“父级”资源,而父级资源(Cloud 项目)上设置的权限由所有子级资源(环境)继承。在 Apigee 界面中,您可以根据环境指定用户角色,从而优化此访问权限。
Google Cloud Platform 中的访问权限控制由 Identity and Access Management (IAM) 控制。借助 IAM,您可以设置权限,指定谁对您项目中的哪些资源具有何种访问权限。如需了解详情,请参阅与身份相关的概念。
用户是“主账号”的一种类型,这是一个广泛的术语,指可以被授予资源访问权限的身份。其他类型的 Cloud 主账号包括服务账号、Google 组和 G Suite 网域。如需了解详情,请参阅 Cloud Identity and Access Management 概览。
- 环境访问权限 - 为特定环境授予用户角色不会取代在 Google Cloud 项目级层设置的角色。在环境级层,授予用户的角色表示为该用户分配的所有 Cloud 角色的联合。
例如,如果您将某个用户定义为 Cloud 项目的 API Admin,则该用户将能够以 API Admin 身份访问组织中的所有环境。
角色建议
Apigee 建议您对添加的每个新用户账号执行以下操作。(添加超级用户或管理员时,无需执行此操作):
- 在 Console 中,添加新的用户账号,并选择具有一组最低权限的角色。例如,将新用户的角色设置为
API Admin。 - 在 Apigee 界面的环境访问权限视图中,按照管理用户中的说明为组织中的每个环境添加用户并设置任何其他用户角色。请注意,在 Apigee 界面中设置的环境范围角色不会取代在 Google Cloud 级层设置的角色,它们是额外的角色。