Le procedure per installare e gestire Apigee hybrid richiedono le autorizzazioni e i ruoli seguenti. Le singole attività possono essere eseguite da diversi membri dell'organizzazione che dispongono delle autorizzazioni e dei ruoli richiesti.
Autorizzazioni cluster
Ogni piattaforma supportata ha i propri requisiti di autorizzazione per la creazione di un cluster. In qualità di proprietario del cluster, puoi procedere all'installazione dei componenti specifici di Apigee (inclusi cert-manager e il runtime Apigee) nel cluster. Tuttavia, se vuoi delegare a un altro utente l'installazione dei componenti di runtime nel cluster, puoi gestire le autorizzazioni necessarie tramite authn-authz di Kubernetes.
Per installare i componenti di runtime ibridi nel cluster, un utente non proprietario del cluster deve avere l'autorizzazione CRUD su queste risorse:
- ClusterRole
- ClusterRoleBinding
- Webhook (ValidatingWebhookConfiguration e MutatingWebhookConfiguration)
- PriorityClass
- ClusterIssuer
- CustomerResourceDefinitions
- StorageClass (facoltativo, se non viene utilizzato il valore predefinito di StorageClass. Per informazioni sulla modifica del valore predefinito e sulla creazione di una classe di archiviazione personalizzata, consulta Configurazione di StorageClass.)
Ruoli IAM
Per eseguire questi passaggi, devi aver assegnato i seguenti ruoli IAM al tuo account utente. Se il tuo account non ha questi ruoli, chiedi a un utente con questi ruoli di eseguire la procedura indicata. Per saperne di più sui ruoli IAM, consulta Riferimento ai ruoli IAM di base e predefiniti.
Per creare account di servizio e concedere loro l'accesso al tuo progetto:
- Crea account di servizio (
roles/iam.serviceAccountCreator
) - Amministratore IAM progetto (
roles/resourcemanager.projectIamAdmin
)
Per concedere l'accesso per sincronizzare al tuo progetto:
- Amministratore organizzazione Apigee (
roles/apigee.admin
)
(Facoltativo) Per configurare Workload Identity per le installazioni su GKE:
- Amministratore Kubernetes Engine (
roles/container.admin
) - Amministratore account di servizio (
roles/iam.serviceAccountAdmin
)