Permisos y roles para la instalación de Apigee ¡ Hybrid

Los procedimientos para instalar y administrar Apigee Hybrid requieren los siguientes permisos y roles. Los diferentes miembros de tu organización que tengan los permisos y roles necesarios pueden realizar tareas individuales.

Permisos del clúster

Cada plataforma compatible tiene sus propios requisitos de permisos para crear un clúster. Como propietario del clúster, puedes instalar los componentes específicos de Apigee (incluidos cert-manager y el entorno de ejecución de Apigee) en el clúster. Sin embargo, si deseas delegar a otro usuario la instalación de los componentes del entorno de ejecución en el clúster, puedes administrar los permisos necesarios a través de Kubernetes authn-authz.

Para instalar los componentes del entorno de ejecución híbrido en el clúster, un usuario que no sea propietario del clúster debe tener permiso de CRUD en estos recursos:

• ClusterRole
• ClusterRoleBinding
• Webhooks (ValidatingWebhookConfiguration and MutatingWebhookConfiguration)
• PriorityClass
• ClusterIssuer
• CustomerResourceDefinitions
• StorageClass (opcional, si no se usa la StorageClass predeterminada). Para obtener información sobre cómo cambiar la configuración predeterminada y crear una clase de almacenamiento personalizada, consulta Configuración de StorageClass).

Roles de IAM

Debes tener los siguientes roles de IAM asignadas a tu cuenta de usuario para realizar estos pasos. Si tu cuenta no tiene estos roles, pídele a un usuario que tenga estas funciones. Para obtener más información sobre los roles de IAM, consulta Referencia de los roles básicos y predefinidos de IAM.

Para crear cuentas de servicio y otorgarles acceso a tu proyecto, sigue estos pasos:

• Crea cuentas de servicio (roles/iam.serviceAccountCreator)
• Administrador de IAM de proyecto (roles/resourcemanager.projectIamAdmin)

Para otorgar acceso del sincronizador a tu proyecto:

• Administrador de la organización de Apigee (roles/apigee.admin)

A fin de configurar Workload Identity para instalaciones en GKE (opcional), sigue estos pasos:

• Administrador de Kubernetes Engine (roles/container.admin)
• Administrador de cuentas de servicio (roles/iam.serviceAccountAdmin)