Le procedure per installare e gestire Apigee hybrid richiedono le autorizzazioni e i ruoli seguenti. Le singole attività possono essere eseguite da diversi membri della tua organizzazione che dispongono delle autorizzazioni e dei ruoli richiesti.
Autorizzazioni cluster
Ogni piattaforma supportata ha i propri requisiti di autorizzazione per la creazione di un cluster. Come cluster proprietario, puoi procedere all'installazione dei componenti specifici di Apigee (inclusi cert-manager e il runtime Apigee) nel cluster. Tuttavia, se vuoi delegare a un altro utente dei componenti di runtime nel cluster, puoi gestire le autorizzazioni necessarie mediante Kubernetes authn-authz.
Per installare i componenti di runtime ibrida nel cluster, un utente diverso dal proprietario del cluster deve disporre dell'autorizzazione CRUD per queste risorse:
- ClusterRole
- ClusterRoleBinding
- Webhook (ValidatingWebhookConfiguration e MutatingWebhookConfiguration)
- PriorityClass
- ClusterIssuer
- CustomerResourceDefinitions
- StorageClass (facoltativo, se non viene utilizzata la classe di archiviazione predefinita. Per informazioni su modificando l'impostazione predefinita e creando una classe di archiviazione personalizzata, consulta Configurazione di StorageClass.)
Ruoli IAM
Per eseguire queste operazioni, devi disporre dei seguenti ruoli IAM assegnati al tuo account utente questi passaggi. Se il tuo account non dispone di questi ruoli, chiedi a un utente con questi ruoli di eseguire le passaggi. Per ulteriori informazioni sui ruoli IAM, consulta Documentazione di riferimento sui ruoli IAM di base e predefiniti.
Per creare account di servizio e concederli l'accesso al tuo progetto:
- Crea account di servizio (
roles/iam.serviceAccountCreator) - Amministratore IAM del progetto (
roles/resourcemanager.projectIamAdmin)
Per concedere l'accesso per sincronizzare al tuo progetto:
- Amministratore organizzazione Apigee (
roles/apigee.admin)
(Facoltativo) Per configurare Workload Identity per le installazioni su GKE:
- Amministratore Kubernetes Engine (
roles/container.admin) - Amministratore account di servizio (
roles/iam.serviceAccountAdmin)