Apigee ハイブリッドをインストールして管理するには、次の権限とロールが必要です。個々のタスクは、組織内で必要な権限とロールを持つさまざまなメンバーが行うことができます。
クラスタの権限
サポートされている各プラットフォームには、クラスタの作成に対するそれぞれの独自の権限要件があります。クラスタのオーナーは、Apigee 固有のコンポーネント(cert-manager や Apigee ランタイムなど)をクラスタにインストールできます。ただし、クラスタへのランタイム コンポーネントのインストールを別のユーザーに委任する場合は、Kubernetes の authn-authz で必要な権限を管理できます。
クラスタのオーナー以外のユーザーがハイブリッド ランタイム コンポーネントをクラスタにインストールするには、次のリソースに対する CRUD 権限が必要です。
- ClusterRole
- ClusterRoleBinding
- Webhooks(ValidatingWebhookConfiguration と MutatingWebhookConfiguration)
- PriorityClass
- ClusterIssuer
- CustomerResourceDefinitions
- StorageClass(デフォルトの StorageClass が使用されていない場合は省略可。デフォルトの StorageClass の変更とカスタム StorageClass の作成については、StorageClass の構成をご覧ください)
IAM ロール
以下の操作を行うには、ユーザー アカウントに次の IAM ロールが割り当てられている必要があります。アカウントにこれらのロールが付与されていない場合は、該当するロールを持つユーザーに操作を依頼してください。IAM ロールの詳細については、IAM の基本ロールと事前定義ロールのリファレンスをご覧ください。
サービス アカウントを作成してプロジェクトへのアクセス権を付与するには:
- サービス アカウントを作成する(
roles/iam.serviceAccountCreator) - プロジェクト IAM 管理者(
roles/resourcemanager.projectIamAdmin)
Synchronizer にプロジェクトへのアクセス権を付与するには:
- Apigee 組織管理者(
roles/apigee.admin)
GKE でインストール用の Workload Identity を構成するには(省略可):
- Kubernetes Engine 管理者(
roles/container.admin) - サービス アカウント管理者(
roles/iam.serviceAccountAdmin)