Apigee-Bereitstellungsberechtigungen

Diese Seite gilt für Apigee, aber nicht für Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

In diesem Dokument werden die Google Cloud IAM-Berechtigungen beschrieben, die zur erfolgreichen Bereitstellung von Apigee erforderlich sind.

Sie können Berechtigungen mit den folgenden Methoden angeben:

  • Vordefinierte Rollen: Sie gewähren ausreichende Berechtigungen für die Bereitstellungsschritte. Vordefinierte Rollen geben dem Apigee-Administrator möglicherweise mehr Berechtigungen als zur Bereitstellung erforderlich.
  • Benutzerdefinierte Rollen: Weisen Sie die geringstmögliche Berechtigung zu, die für die Bereitstellungsschritte erforderlich ist.

Rolle „Google Cloud-Projektinhaber“

Der Inhaber des Google Cloud-Projekts, das für die Apigee-Bereitstellung verwendet wird, ist bereits berechtigt, alle grundlegenden Apigee-Bereitstellungsschritte auszuführen.

Wenn der Apigee-Bereitsteller nicht der Projektinhaber ist, ermitteln Sie anhand dieses Dokuments die Berechtigungen, die zum Ausführen der einzelnen Schritte erforderlich sind.

Wenn Sie ein freigegebenes VPC-Netzwerk (Shared Virtual Private Cloud) verwenden, sind zusätzliche Berechtigungen im freigegebenen VPC-Projekt erforderlich. Diese Fälle werden in diesem Dokument ebenfalls behandelt.

Vordefinierte Rollen

Wenn Sie nur prüfen möchten, ob der Apigee-Administrator ausreichende Berechtigungen zum Beenden der Bereitstellung hat, erteilen Sie dem Apigee-Administrator folgende vordefinierte IAM-Rollen. Vordefinierte Rollen können Apigee-Administratoren jedoch mehr Berechtigungen geben, als sie zum Bereitstellen benötigen. Unter Benutzerdefinierte Rollen und Berechtigungen erfahren Sie, wie Sie nur die erforderlichen Berechtigungen erteilen.

Vordefinierte Rollen angeben

So fügen Sie Nutzer und Rollen hinzu:

  1. Rufen Sie in der Google Cloud Console IAM & Verwaltung > IAM für Ihr Projekt auf.

    Zur Seite „IAM/Iam“

  2. So fügen Sie einen neuen Nutzer hinzu:
    1. Klicken Sie auf Zugriff erlauben.
    2. Geben Sie einen neuen Hauptkontonamen ein.
    3. Klicken Sie auf das Menü Rolle auswählen und geben Sie den Namen der Rolle in das Feld Filter ein. Beispiel: Apigee Organization Admin. Klicken Sie auf die Rolle, die in den Ergebnissen aufgeführt ist.
    4. Klicken Sie auf Speichern.
  3. So bearbeiten Sie einen vorhandenen Nutzer:
    1. Klicken Sie auf  Bearbeiten.
    2. Wenn Sie eine vorhandene Rolle ändern möchten, klicken Sie auf das Menü Rolle und wählen Sie dann eine andere Rolle aus.
    3. Klicken Sie auf Weitere Rolle hinzufügen, um eine Rolle hinzuzufügen.
    4. Klicken Sie auf das Menü Rolle auswählen und geben Sie den Namen der Rolle in das Feld Filter ein. Beispiel: Apigee Organization Admin. Klicken Sie auf die Rolle, die in den Ergebnissen aufgeführt ist.
    5. Klicken Sie auf Speichern.
Rolle Erforderlich für Schritte Kontotyp Zweck
Apigee-Organisationsadministrator
apigee.admin
  • Apigee-Bereitstellung starten
  • Organisation erstellen
  • Umgebung erstellen
  • Apigee-Instanz erstellen
Kostenpflichtig und Evaluierung Gewährt vollständigen Zugriff auf alle Apigee-Ressourcen-Features
Service Usage-Administrator
serviceusage.serviceUsageAdmin
  • APIs aktivieren
Kostenpflichtig und Evaluierung Erlaubnis, Dienststatus zu aktivieren, zu deaktivieren und zu überprüfen, Vorgänge zu überprüfen, sowie Kontingent und Abrechnung für ein Consumer-Projekt zu verarbeiten.
Cloud KMS-Administrator
cloudkms.admin
  • Organisation erstellen
  • Laufzeitinstanz konfigurieren
Nur kostenpflichtig Cloud KMS-Schlüssel und -Schlüsselbunde erstellen
Compute-Netzwerkadministrator
compute.networkAdmin
  • Organisation erstellen
  • Laufzeitinstanz konfigurieren
  • Dienstnetzwerk konfigurieren
  • Zugriffsrouting konfigurieren (zum Erstellen des externen HTTPS-Load-Balancers)
Kostenpflichtig und Evaluierung Compute-Regionen auflisten, Dienstnetzwerk einrichten und externen HTTPS-Load-Balancer erstellen.

Benutzerdefinierte Rollen und Berechtigungen

Erstellen Sie eine benutzerdefinierte IAM-Rolle und weisen Sie Berechtigungen aus den folgenden Abschnitten zu, um nur die notwendigen Berechtigungen bereitzustellen.

Benutzerdefinierte Rollen angeben

So fügen Sie eine benutzerdefinierte Rolle hinzu:

  1. Rufen Sie in der Google Cloud Console IAM & Verwaltung > IAM für Ihr Projekt auf.

    Zur Seite "IAM & Verwaltung/Rollen"

  2. So fügen Sie eine neue Rolle hinzu:
    1. Klicken Sie auf Rolle erstellen.
    2. Geben Sie einen neuen Titel ein.
    3. Geben Sie eine Beschreibung ein (optional).
    4. Geben Sie eine ID ein.
    5. Wählen Sie eine Rollenstartphase.
    6. Klicken Sie auf Berechtigungen hinzufügen.
    7. Kopieren Sie den gewünschten Berechtigungstext aus den Tabellen unten und fügen Sie ihn in das Feld Filter ein. Beispiel: apigee.environments.create.
    8. Drücken Sie die Eingabetaste oder klicken Sie auf eines der Elemente der Ergebnisse.
    9. Markieren Sie das Kästchen für das gerade hinzugefügte Element.
    10. Klicken Sie auf Hinzufügen.
    11. Nachdem Sie alle Berechtigungen für diese Rolle hinzugefügt haben, klicken Sie auf Erstellen.
  3. So bearbeiten Sie eine vorhandene benutzerdefinierte Rolle:
    1. Suchen Sie die benutzerdefinierte Rolle.
    2. Klicken Sie auf  Mehr > Bearbeiten.
    3. Nehmen Sie die gewünschten Änderungen vor.
    4. Klicken Sie auf Aktualisieren.

UI-basierte Apigee-Verwaltungsberechtigungen

Diese Berechtigung ist für alle Nutzer erforderlich, die eine Organisation über die Apigee-Benutzeroberfläche in der Cloud Console verwalten. Fügen Sie sie benutzerdefinierten Rollen hinzu, die die Verwaltung über diese Benutzeroberfläche umfassen.

Rolle Kontotyp Zweck
apigee.projectorganizations.get
Kostenpflichtig und Evaluierung

Berechtigungen bereitstellen

Diese Berechtigungen sind erforderlich, um Apigee bereitzustellen:

Rolle Kontotyp Zweck
apigee.entitlements.get
apigee.environments.create
apigee.environments.get
apigee.environments.list
apigee.envgroups.create
apigee.envgroups.get
apigee.envgroups.list
apigee.envgroups.update
apigee.envgroupattachments.create
apigee.envgroupattachments.list
apigee.instances.create
apigee.instances.get
apigee.instances.list
apigee.instanceattachments.create
apigee.instanceattachments.get
apigee.instanceattachments.list
apigee.operations.get
apigee.operations.list
apigee.organizations.create
apigee.organizations.get
apigee.organizations.update
apigee.projectorganizations.get
apigee.projects.update
apigee.setupcontexts.get
apigee.setupcontexts.update
Kostenpflichtig und Evaluierung
  • Apigee-Bereitstellung starten
  • Organisation erstellen
  • Umgebung erstellen
  • Apigee-Instanz erstellen

Berechtigungen für die API-Aktivierung

Diese Berechtigungen sind erforderlich, um Google Cloud APIs zu aktivieren:

Rolle Kontotyp Zweck
serviceusage.services.get
serviceusage.services.enable
Kostenpflichtig und Evaluierung Google Cloud APIs aktivieren

Berechtigungen zur Erstellung einer Organisation (kostenpflichtige Organisation)

Diese Berechtigungen sind erforderlich, um eine Apigee-Organisation für kostenpflichtige Konten (Abo oder Pay-as-you-go) zu erstellen:

Berechtigungen Kontotyp Zweck
compute.regions.list Nur kostenpflichtig Analyse-Hosting-Standort auswählen
cloudkms.cryptoKeys.list
cloudkms.locations.list
cloudkms.keyRings.list
Nur kostenpflichtig Verschlüsselungsschlüssel für die Laufzeitdatenbank auswählen
cloudkms.cryptoKeys.create
cloudkms.keyRings.create
Nur kostenpflichtig Verschlüsselungsschlüssel für die Laufzeitdatenbank erstellen
cloudkms.cryptoKeys.getIamPolicy
cloudkms.cryptoKeys.setIamPolicy
Nur kostenpflichtig Apigee-Dienstkonto die Berechtigung zur Verwendung eines Verschlüsselungsschlüssels erteilen

Berechtigungen zur Erstellung einer Organisation (Evaluierungsorganisation)

Diese Berechtigung ist erforderlich, um Analyse- und Laufzeit-Hosting-Regionen für eine Evaluierungsorganisation auszuwählen:

Berechtigungen Kontotyp Zweck
compute.regions.list Nur Evaluierungsorganisationen Analyse- und Laufzeit-Hosting-Regionen auswählen

Berechtigungen für das Dienstnetzwerk

Diese Berechtigungen sind in den Schritten der Dienstnetzwerkkonfiguration erforderlich. Wenn Sie ein freigegebenes VPC-Netzwerk verwenden, finden Sie weitere Informationen unter Dienstnetzwerkberechtigungen mit freigegebener VPC.

Berechtigungen Kontotyp Zweck
compute.globalAddresses.createInternal
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.networks.get
compute.networks.list
compute.networks.use
compute.projects.get
servicenetworking.operations.get
servicenetworking.services.addPeering
servicenetworking.services.get
Kostenpflichtig und Evaluierung

Diese Berechtigungen sind erforderlich, um die Aufgaben im Schritt zur Konfiguration des Dienstnetzwerks auszuführen.

Dienstnetzwerkberechtigungen mit freigegebener VPC

Wenn Sie ein freigegebenes VPC-Netzwerk (Shared Virtual Private Cloud) verwenden, muss ein Nutzer mit Administratorberechtigungen im freigegebenen VPC-Projekt das VPC-Projekt mit Apigee verbinden, wie unter Freigegebene VPC-Netzwerke verwenden beschrieben. Das Peering muss abgeschlossen sein, bevor der Apigee-Administrator die Schritte für das Dienstnetzwerk ausführen kann. Siehe auch Administratoren und IAM.

Wenn eine freigegebene VPC ordnungsgemäß eingerichtet ist, benötigt der Apigee-Administrator diese Berechtigungen, um die Schritte zur Konfiguration des Dienstnetzwerks auszuführen:

Berechtigungen Kontotyp Zweck
compute.projects.get Kostenpflichtig und Evaluierung

Der Apigee-Administrator muss diese Berechtigung in dem Projekt haben, in dem Apigee installiert ist. Diese Berechtigung ermöglicht dem Administrator, die ID des Hostprojekts mit freigegebener VPC aufzurufen.

Rolle "Compute-Netzwerknutzer"
(compute.networkUser)
Kostenpflichtig und Evaluierung Diese Rolle muss dem Apigee-Administrator im Hostprojekt mit freigegebener VPC zugewiesen werden. Mit dieser Rolle kann der Administrator das freigegebene VPC-Netzwerk in der Apigee-Bereitstellungs-UI aufrufen und auswählen.

Berechtigungen für Laufzeitinstanz

Diese Berechtigungen werden zum Erstellen einer Laufzeitinstanz benötigt (nur für Abo- und Pay-as-you-go-Konten):

Berechtigungen Kontotyp Zweck
compute.regions.list Nur kostenpflichtig Laufzeit-Hosting-Standort auswählen
cloudkms.cryptoKeys.list
cloudkms.locations.list
cloudkms.keyRings.list
Nur kostenpflichtig Verschlüsselungsschlüssel für Laufzeitlaufwerk auswählen
cloudkms.cryptoKeys.create
cloudkms.keyRings.create
Nur kostenpflichtig Verschlüsselungsschlüssel für Laufzeitlaufwerk erstellen
cloudkms.cryptoKeys.getIamPolicy
cloudkms.cryptoKeys.setIamPolicy
Nur kostenpflichtig Apigee-Dienstkonto die Berechtigung zur Verwendung eines Verschlüsselungsschlüssels erteilen

Berechtigungen für Zugriffsrouting

Diese Berechtigungen werden für die Schritte für das Zugriffsrouting benötigt:

Berechtigungen Kontotyp Zweck
compute.autoscalers.create
compute.backendServices.create
compute.backendServices.use
compute.disks.create
compute.globalAddresses.create
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.globalForwardingRules.create
compute.globalOperations.get
compute.firewalls.create
compute.firewalls.get
compute.healthChecks.create
compute.healthChecks.useReadOnly
compute.images.get
compute.images.useReadOnly
compute.instances.create
compute.instances.setMetadata
compute.instanceGroups.use
compute.instanceGroupManagers.create
compute.instanceGroupManagers.use
compute.instanceTemplates.get
compute.instanceTemplates.create
compute.instanceTemplates.useReadOnly
compute.networks.get
compute.networks.list
compute.networks.updatePolicy
compute.networks.use
compute.regionOperations.get
compute.regionNetworkEndpointGroups.create
compute.regionNetworkEndpointGroups.use
compute.sslCertificates.create
compute.sslCertificates.get
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.setPrivateIpGoogleAccess
compute.subnetworks.use
compute.targetHttpsProxies.create
compute.targetHttpsProxies.use
compute.urlMaps.create
compute.urlMaps.use
Kostenpflichtig und Evaluierung

Basiszugriffsrouting konfigurieren

Zugriffsrouting-Berechtigungen mit freigegebener VPC

Wenn Sie ein freigegebenes VPC-Netzwerk (Virtual Private Cloud) verwenden, müssen Sie beachten, dass die Konfiguration der freigegebenen VPC und das Peering abgeschlossen sein müssen, bevor Sie den Schritt für das Zugriffsrouting ausführen können.

Nachdem die freigegebene VPC ordnungsgemäß eingerichtet wurde, benötigt der Apigee-Administrator die Rolle compute.networkUser im Projekt der freigegebenen VPC, um die Schritte für das Zugriffsrouting auszuführen. Siehe auch Erforderliche administrative Rollen für freigegebene VPC.