Les procédures d'installation et de gestion d'Apigee hybrid nécessitent les autorisations et les rôles suivants. Les tâches individuelles peuvent être effectuées par différents membres de votre organisation disposant des autorisations et des rôles requis.
Autorisations du cluster
Chaque plate-forme compatible dispose de ses propres exigences en matière d'autorisations visant à créer un cluster. En tant que propriétaire du cluster, vous pouvez y installer les composants spécifiques à Apigee (y compris cert-manager et l'environnement d'exécution Apigee). Toutefois, si vous souhaitez déléguer à un autre utilisateur l'installation des composants d'exécution dans le cluster, vous pouvez gérer les autorisations nécessaires via authn-authz de Kubernetes.
Pour installer les composants d'exécution hybrides dans le cluster, un utilisateur non propriétaire du cluster doit disposer d'une autorisation CRUD sur les ressources suivantes :
- ClusterRole
- ClusterRoleBinding
- Webhooks (ValidatingWebhookConfiguration et MutatingWebhookConfiguration)
- PriorityClass
- ClusterIssuer
- CustomerResourceDefinitions
- StorageClass (facultatif, si la ressource StorageClass par défaut n'est pas utilisée. Pour en savoir plus sur la modification de la valeur par défaut et la création d'une classe de stockage personnalisée, consultez la section Configuration de StorageClass.)
Rôles IAM
Vous devez disposer des rôles IAM suivants pour votre compte utilisateur afin de pouvoir effectuer ces étapes. Si votre compte ne dispose pas de ces rôles, demandez à un utilisateur disposant des rôles d'effectuer la procédure. Pour en savoir plus sur les rôles IAM, consultez la page Documentation de référence sur les rôles IAM de base et prédéfinis.
Pour créer des comptes de service et leur accorder l'accès à votre projet :
- Créer des comptes de service (
roles/iam.serviceAccountCreator) - Administrateur de projet IAM (
roles/resourcemanager.projectIamAdmin)
Pour accorder au synchronisateur l'accès à votre projet :
- Administrateur d'organisation Apigee (
roles/apigee.admin)
Pour configurer Workload Identity pour les installations sur GKE (facultatif) :
- Administrateur de Kubernetes Engine (
roles/container.admin) - Administrateur de compte de service (
roles/iam.serviceAccountAdmin)