Prosedur untuk menginstal dan mengelola Apigee hybrid memerlukan izin dan peran berikut. Setiap tugas dapat dilakukan oleh anggota organisasi Anda yang berbeda-beda yang memiliki izin dan peran yang diperlukan.
Izin cluster
Setiap platform yang didukung memiliki persyaratan izinnya sendiri untuk membuat cluster. Sebagai pemilik cluster, Anda dapat melanjutkan untuk menginstal komponen khusus Apigee (termasuk cert-manager dan runtime Apigee) ke dalam cluster. Namun, jika ingin mendelegasikan penginstalan komponen runtime ke dalam cluster kepada pengguna lain, Anda dapat mengelola izin yang diperlukan melalui authn-authz Kubernetes.
Untuk menginstal komponen runtime campuran ke dalam cluster, pengguna non-pemilik cluster harus memiliki izin CRUD pada resource berikut:
- ClusterRole
- ClusterRoleBinding
- Webhook (ValidatingWebhookConfiguration dan MutatingWebhookConfiguration)
- PriorityClass
- ClusterIssuer
- CustomerResourceDefinitions
- StorageClass (Opsional, jika StorageClass default tidak digunakan. Untuk mengetahui informasi tentang cara mengubah default dan membuat class penyimpanan kustom, lihat Konfigurasi StorageClass.)
Peran IAM
Anda harus menetapkan peran IAM berikut ke akun pengguna untuk melakukan langkah-langkah ini. Jika akun Anda tidak memiliki peran ini, minta pengguna dengan peran tersebut untuk melakukan langkah-langkahnya. Untuk mengetahui informasi selengkapnya tentang peran IAM, lihat Referensi peran dasar dan bawaan IAM.
Untuk membuat akun layanan dan memberinya akses ke project Anda:
- Buat Akun Layanan (
roles/iam.serviceAccountCreator) - Project IAM Admin (
roles/resourcemanager.projectIamAdmin)
Untuk memberikan akses sinkronisasi ke project Anda:
- Apigee Organization Admin (
roles/apigee.admin)
Untuk mengonfigurasi identitas workload bagi penginstalan di GKE (opsional):
- Kubernetes Engine Admin (
roles/container.admin) - Service Account Admin (
roles/iam.serviceAccountAdmin)