Os procedimentos para instalar e gerenciar a Apigee híbrida exigem as seguintes permissões e papéis. Tarefas individuais podem ser executadas por membros diferentes da organização que tenham as permissões e os papéis necessários.
Permissões de cluster
Cada plataforma aceita tem os próprios requisitos de permissão para criar um cluster. Como proprietário do cluster, é possível instalar no cluster os componentes específicos da Apigee (incluindo o cert-manager e o ambiente de execução da Apigee). No entanto, se quiser delegar a outro usuário a instalação dos componentes do ambiente de execução no cluster, gerencie as permissões necessárias com authn-authz do Kubernetes.
Para instalar os componentes do ambiente de execução híbrido no cluster, um usuário que não seja um proprietário precisa ter a permissão CRUD nestes recursos:
- ClusterRole
- ClusterRoleBinding
- Webhooks (ValidatingWebhookConfiguration and MutatingWebhookConfiguration)
- PriorityClass
- ClusterIssuer
- CustomerResourceDefinitions
- StorageClass (opcional, se a StorageClass padrão não for usada. Para mais informações sobre como alterar o padrão e criar uma classe de armazenamento personalizada, consulte Configuração do StorageClass.)
Papéis do IAM
Você precisa ter os seguintes papéis do IAM atribuídos à sua conta de usuário para realizar estas etapas. Se a conta não tiver esses papéis, solicite que um usuário com eles executem as etapas. Para mais informações sobre os papéis do IAM, consulte a referência dos papéis básicos e predefinidos do IAM.
Para criar contas de serviço e conceder a elas acesso ao seu projeto:
- Criar contas de serviço (
roles/iam.serviceAccountCreator
) - Administrador de projetos do IAM (
roles/resourcemanager.projectIamAdmin
)
Para conceder acesso ao sincronizador ao seu projeto:
- Administrador da organização da Apigee (
roles/apigee.admin
)
Para configurar a identidade da carga de trabalho para instalações no GKE (opcional):
- Administrador do Kubernetes Engine (
roles/container.admin
) - Administrador da conta de serviço (
roles/iam.serviceAccountAdmin
)