安装完成后,您的 Google Cloud 项目已与以下用户相关联:
- 您(所有者)
- 创建服务帐号中列出的服务帐号
收到 Apigee 组织已预配的确认信息后,您可以向 Google Cloud Platform (GCP) 项目添加更多用户帐号。您可以使用 GCP Console 中的 IAM 服务来执行此操作。
本部分介绍如何向 GCP 项目添加新用户帐号并管理他们的访问权限。这些用户帐号可能具有特殊角色,例如创建分析报告的人员,或负责部署和取消部署 API 代理的人员。如需了解 Apigee 角色的说明(包括 API 访问权限详细信息),请参阅使用 Apigee API 管理用户和角色。
对于小型项目,您不得添加任何新用户。对于较大的项目,您可能需要为每个 Apigee 角色至少添加一个新成员。尽量限制您分配的 Apigee Organization Admin 角色的数量,因为此角色拥有最高级别的权限。
如需在 GCP 项目中添加用户并为其分配 Apigee 角色,请执行以下操作:
- 打开 Google Cloud Console,然后使用您的 GCP 帐号登录。
- 选择混合启用的项目。
- 选择 IAM 和管理 > IAM。
控制台会显示权限视图:
- 如需添加新用户,请点击 +ADD 按钮。
控制台会显示 添加成员 视图:
- 在 新成员 字段中,输入新用户帐号的电子邮件地址。
电子邮件地址必须是以下类型之一:
- Google 帐号(例如 fred@gmail.com)。所有 Gmail 帐号都是 Google 帐号,但您也可以将网域不同的电子邮件地址注册为 Google 帐号。
- Google 组的名称。例如,my-group@googlegroups.com。如果您将某个 Google 组添加为用户,则该组的所有成员都将拥有该角色。
- 服务帐号。例如 my-service-account@example.gserviceaccount.com。(您不需要在此处添加服务帐号。)
- 一个 G Suite 网域。例如,address@example-domain.com,其中 example.com 是您注册 Google Cloud 服务时使用的网域。
您可以在新成员字段中指定多个电子邮件地址,并为所有成员分配相同的角色。如需向不同的电子邮件地址分配不同的角色,请为每个新成员执行第 4 步和第 5 步。
- 为新成员分配至少一个角色:
- 展开选择角色下拉列表。
- 选择要分配的角色。要决定要分配的角色,请参阅 用户帐号和角色 中的说明。
- 如需分配 Apigee 角色,您可以输入“Apigee”作为过滤条件,以便下拉列表仅显示 Apigee 角色,如以下示例所示:
- 针对您要向用户分配的各个角色重复此过程。
- 点击保存按钮,将新用户添加到具有已分配角色的 GCP 项目。
- 对您要添加的每个用户重复此过程。
GCP 现在允许项目的新用户使用已分配的权限访问组织中的所有环境。如需限制用户对特定环境的访问权限,请使用混合界面,如 在混合界面中添加用户帐号 中所述。