安装和管理 Apigee Hybrid 的步骤需要以下权限和角色。您的组织中具有所需权限和角色的不同成员可以执行各个任务。
集群权限
每个受支持的平台在创建集群时都有自己的权限要求。作为集群所有者,您可以继续将特定于 Apigee 的组件(包括 cert-manager 和 Apigee 运行时)安装到集群中。但是,如果您希望委托其他用户将运行时组件安装到集群中,则可以通过 Kubernetes authn-authz 管理必要的权限。
如需将 Hybrid 运行时组件安装到集群中,非集群所有者用户应对这些资源具有 CRUD 权限:
- ClusterRole
- ClusterRoleBinding
- Webhook(ValidatingWebhookConfiguration 和 MutatingWebhookConfiguration)
- PriorityClass
- ClusterIssuer
- CustomerResourceDefinitions
- StorageClass(如果未使用默认 StorageClass,则为可选。如需了解如何更改默认值和创建自定义存储类别,请参阅 StorageClass 配置。)
IAM 角色
您需要将以下 IAM 角色分配给您的用户账号才能执行这些步骤。如果您的账号没有这些角色,请让具有这些角色的用户执行这些步骤。如需详细了解 IAM 角色,请参阅 IAM 基本角色和预定义角色参考文档。
如需创建服务账号并向其授予项目的访问权限,请执行以下操作:
- Create Service Accounts (
roles/iam.serviceAccountCreator) - Project IAM Admin (
roles/resourcemanager.projectIamAdmin)
授予同步器对您的项目的访问权限:
- Apigee Organization Admin (
roles/apigee.admin)
如需在 GKE 上配置用于安装的工作负载身份(可选),您需要具有以下角色:
- Kubernetes Engine Admin (
roles/container.admin) - Service Account Admin (
roles/iam.serviceAccountAdmin)