Apigee Hybrid를 설치하고 관리하는 절차에는 다음 권한과 역할이 필요합니다. 필요한 권한과 역할이 있는 조직의 여러 구성원이 개별 태스크를 수행할 수 있습니다.
클러스터 권한
지원되는 각 플랫폼에는 클러스터를 만들기 위한 고유 권한 요구사항이 있습니다. 클러스터 소유자는 계속해서 Apigee 관련 구성요소(cert-manager, Apigee 런타임 포함)를 클러스터에 설치할 수 있습니다. 하지만 다른 사용자에게 클러스터 내의 런타임 구성요소 설치를 위임하려는 경우 Kubernetes authn-authz를 통해 필요한 권한을 관리할 수 있습니다.
클러스터에 하이브리드 런타임 구성요소를 설치하려면 클러스터 소유자가 아닌 사용자에게 이러한 리소스에 대한 CRUD 권한이 있어야 합니다.
- ClusterRole
- ClusterRoleBinding
- 웹훅(ValidatingWebhookConfiguration 및 MutatingWebhookConfiguration)
- PriorityClass
- ClusterIssuer
- CustomerResourceDefinitions
- StorageClass(기본 StorageClass를 사용하지 않는 경우 선택사항입니다. 기본값 변경 및 커스텀 스토리지 클래스 만들기에 대한 자세한 내용은 StorageClass 구성을 참조하세요.)
IAM 역할
다음 단계를 수행하려면 사용자 계정에 다음 IAM 역할이 할당되어 있어야 합니다. 계정에 이러한 역할이 없으면 해당 역할이 있는 사용자가 단계를 수행합니다. IAM 역할에 대한 자세한 내용은 IAM 기본 및 사전 정의된 역할 참조를 확인하세요.
서비스 계정을 만들고 프로젝트에 대한 액세스 권한 부여하기:
- 서비스 계정 만들기(
roles/iam.serviceAccountCreator
) - 프로젝트 IAM 관리자(
roles/resourcemanager.projectIamAdmin
)
프로젝트에 동기화 담당자 액세스 권한 부여하기:
- Apigee 조직 관리자(
roles/apigee.admin
)
GKE에서의 설치를 위해 워크로드 아이덴티티를 구성하기(선택사항):
- Kubernetes Engine 관리자(
roles/container.admin
) - 서비스 계정 관리자(
roles/iam.serviceAccountAdmin
)