Les procédures d'installation et de gestion d'Apigee hybrid nécessitent les autorisations et rôles suivants. Les tâches individuelles peuvent être effectuées par différents membres de votre organisation disposant des autorisations et rôles requis.
Autorisations sur le cluster
Chaque plate-forme compatible dispose de ses propres exigences quant aux autorisations requises pour créer un cluster. En tant que propriétaire du cluster, vous pouvez y installer les composants spécifiques à Apigee (y compris cert-manager et l'environnement d'exécution Apigee). Toutefois, si vous souhaitez déléguer à un autre utilisateur l'installation des composants d'exécution dans le cluster, vous pouvez gérer les autorisations nécessaires via la fonctionnalité authn-authz de Kubernetes.
Pour installer les composants d'exécution hybrides dans le cluster, un utilisateur non propriétaire du cluster doit disposer d'une autorisation CRUD sur les ressources suivantes :
- ClusterRole
- ClusterRoleBinding
- Webhooks (ValidatingWebhookConfiguration et MutatingWebhookConfiguration)
- PriorityClass
- ClusterIssuer
- CustomerResourceDefinitions
- StorageClass (facultatif, si la ressource StorageClass par défaut n'est pas utilisée. Pour en savoir plus sur la modification de la valeur par défaut et la création d'une classe de stockage personnalisée, consultez Configuration de StorageClass.)
Rôles IAM
Les rôles IAM suivants doivent être attribués à votre compte utilisateur pour que vous puissiez effectuer ces étapes. Si votre compte ne dispose pas de ces rôles, demandez à un utilisateur doté de ces rôles d'effectuer la procédure. Pour en savoir plus sur les rôles IAM, consultez la documentation de référence sur les rôles IAM de base et prédéfinis.
Pour créer des comptes de service et leur accorder l'accès à votre projet :
- Créer des comptes de service (
roles/iam.serviceAccountCreator) - Administrateur de projet IAM (
roles/resourcemanager.projectIamAdmin)
Pour accorder au synchronisateur l'accès à votre projet :
- Administrateur de l'organisation Apigee (
roles/apigee.admin)
Pour configurer Workload Identity pour les installations sur GKE (facultatif) :
- Administrateur Kubernetes Engine (
roles/container.admin) - Administrateur de compte de service (
roles/iam.serviceAccountAdmin)