Diese Seite gilt für Apigee, aber nicht für Apigee Hybrid.
Apigee Edge-Dokumentation aufrufen
In diesem Dokument werden die Google Cloud IAM-Berechtigungen beschrieben, die zur erfolgreichen Bereitstellung von Apigee erforderlich sind.
Sie können Berechtigungen mit den folgenden Methoden angeben:
- Vordefinierte Rollen: Sie gewähren ausreichende Berechtigungen für die Bereitstellungsschritte. Vordefinierte Rollen geben dem Apigee-Administrator möglicherweise mehr Berechtigungen als zur Bereitstellung erforderlich.
- Benutzerdefinierte Rollen: Weisen Sie die geringstmögliche Berechtigung zu, die für die Bereitstellungsschritte erforderlich ist.
Rolle „Google Cloud-Projektinhaber“
Der Inhaber des Google Cloud-Projekts, das für die Apigee-Bereitstellung verwendet wird, ist bereits berechtigt, alle grundlegenden Apigee-Bereitstellungsschritte auszuführen.
Wenn der Apigee-Bereitsteller nicht der Projektinhaber ist, ermitteln Sie anhand dieses Dokuments die Berechtigungen, die zum Ausführen der einzelnen Schritte erforderlich sind.
Wenn Sie ein freigegebenes VPC-Netzwerk (Shared Virtual Private Cloud) verwenden, sind zusätzliche Berechtigungen im freigegebenen VPC-Projekt erforderlich. Diese Fälle werden in diesem Dokument ebenfalls behandelt.
Vordefinierte Rollen
Wenn Sie nur prüfen möchten, ob der Apigee-Administrator ausreichende Berechtigungen zum Beenden der Bereitstellung hat, erteilen Sie dem Apigee-Administrator folgende vordefinierte IAM-Rollen. Vordefinierte Rollen können Apigee-Administratoren jedoch mehr Berechtigungen geben, als sie zum Bereitstellen benötigen. Unter Benutzerdefinierte Rollen und Berechtigungen erfahren Sie, wie Sie nur die erforderlichen Berechtigungen erteilen.
Vordefinierte Rollen angeben
So fügen Sie Nutzer und Rollen hinzu:
Rufen Sie in der Google Cloud Console IAM & Verwaltung > IAM für Ihr Projekt auf.
- So fügen Sie einen neuen Nutzer hinzu:
- Klicken Sie auf Zugriff erlauben.
- Geben Sie einen neuen Hauptkontonamen ein.
- Klicken Sie auf das Menü Rolle auswählen und geben Sie den Namen der Rolle in das Feld Filter ein. Beispiel:
Apigee Organization Admin
. Klicken Sie auf die Rolle, die in den Ergebnissen aufgeführt ist. - Klicken Sie auf Speichern.
- So bearbeiten Sie einen vorhandenen Nutzer:
- Klicken Sie auf Bearbeiten.
- Wenn Sie eine vorhandene Rolle ändern möchten, klicken Sie auf das Menü Rolle und wählen Sie dann eine andere Rolle aus.
- Klicken Sie auf Weitere Rolle hinzufügen, um eine Rolle hinzuzufügen.
- Klicken Sie auf das Menü Rolle auswählen und geben Sie den Namen der Rolle in das Feld Filter ein. Beispiel:
Apigee Organization Admin
. Klicken Sie auf die Rolle, die in den Ergebnissen aufgeführt ist. - Klicken Sie auf Speichern.
Rolle | Erforderlich für Schritte | Kontotyp | Zweck |
---|---|---|---|
Apigee-Organisationsadministratorapigee.admin |
|
Kostenpflichtig und Evaluierung | Gewährt vollständigen Zugriff auf alle Apigee-Ressourcen-Features |
Service Usage-Administratorserviceusage.serviceUsageAdmin |
|
Kostenpflichtig und Evaluierung | Erlaubnis, Dienststatus zu aktivieren, zu deaktivieren und zu überprüfen, Vorgänge zu überprüfen, sowie Kontingent und Abrechnung für ein Consumer-Projekt zu verarbeiten. |
Cloud KMS-Administratorcloudkms.admin |
|
Nur kostenpflichtig | Cloud KMS-Schlüssel und -Schlüsselbunde erstellen |
Compute-Netzwerkadministratorcompute.networkAdmin |
|
Kostenpflichtig und Evaluierung | Compute-Regionen auflisten, Dienstnetzwerk einrichten und externen HTTPS-Load-Balancer erstellen. |
Benutzerdefinierte Rollen und Berechtigungen
Erstellen Sie eine benutzerdefinierte IAM-Rolle und weisen Sie Berechtigungen aus den folgenden Abschnitten zu, um nur die notwendigen Berechtigungen bereitzustellen.
Benutzerdefinierte Rollen angeben
So fügen Sie eine benutzerdefinierte Rolle hinzu:
Rufen Sie in der Google Cloud Console IAM & Verwaltung > IAM für Ihr Projekt auf.
- So fügen Sie eine neue Rolle hinzu:
- Klicken Sie auf Rolle erstellen.
- Geben Sie einen neuen Titel ein.
- Geben Sie eine Beschreibung ein (optional).
- Geben Sie eine ID ein.
- Wählen Sie eine Rollenstartphase.
- Klicken Sie auf Berechtigungen hinzufügen.
- Kopieren Sie den gewünschten Berechtigungstext aus den Tabellen unten und fügen Sie ihn in das Feld Filter ein. Beispiel:
apigee.environments.create
. - Drücken Sie die Eingabetaste oder klicken Sie auf eines der Elemente der Ergebnisse.
- Markieren Sie das Kästchen für das gerade hinzugefügte Element.
- Klicken Sie auf Hinzufügen.
- Nachdem Sie alle Berechtigungen für diese Rolle hinzugefügt haben, klicken Sie auf Erstellen.
- So bearbeiten Sie eine vorhandene benutzerdefinierte Rolle:
- Suchen Sie die benutzerdefinierte Rolle.
- Klicken Sie auf Mehr > Bearbeiten.
- Nehmen Sie die gewünschten Änderungen vor.
- Klicken Sie auf Aktualisieren.
UI-basierte Apigee-Verwaltungsberechtigungen
Diese Berechtigung ist für alle Nutzer erforderlich, die eine Organisation über die Apigee-Benutzeroberfläche in der Cloud Console verwalten. Fügen Sie sie benutzerdefinierten Rollen hinzu, die die Verwaltung über diese Benutzeroberfläche umfassen.
Rolle | Kontotyp | Zweck |
---|---|---|
apigee.projectorganizations.get |
Kostenpflichtig und Evaluierung |
|
Berechtigungen bereitstellen
Diese Berechtigungen sind erforderlich, um Apigee bereitzustellen:
Rolle | Kontotyp | Zweck |
---|---|---|
apigee.entitlements.get apigee.environments.create apigee.environments.get apigee.environments.list apigee.envgroups.create apigee.envgroups.get apigee.envgroups.list apigee.envgroups.update apigee.envgroupattachments.create apigee.envgroupattachments.list apigee.instances.create apigee.instances.get apigee.instances.list apigee.instanceattachments.create apigee.instanceattachments.get apigee.instanceattachments.list apigee.operations.get apigee.operations.list apigee.organizations.create apigee.organizations.get apigee.organizations.update apigee.projectorganizations.get apigee.projects.update apigee.setupcontexts.get apigee.setupcontexts.update
|
Kostenpflichtig und Evaluierung |
|
Berechtigungen für die API-Aktivierung
Diese Berechtigungen sind erforderlich, um Google Cloud APIs zu aktivieren:
Rolle | Kontotyp | Zweck |
---|---|---|
serviceusage.services.get serviceusage.services.enable |
Kostenpflichtig und Evaluierung | Google Cloud APIs aktivieren |
Berechtigungen zur Erstellung einer Organisation (kostenpflichtige Organisation)
Diese Berechtigungen sind erforderlich, um eine Apigee-Organisation für kostenpflichtige Konten (Abo oder Pay-as-you-go) zu erstellen:
Berechtigungen | Kontotyp | Zweck |
---|---|---|
compute.regions.list |
Nur kostenpflichtig | Analyse-Hosting-Standort auswählen |
cloudkms.cryptoKeys.list cloudkms.locations.list cloudkms.keyRings.list
|
Nur kostenpflichtig | Verschlüsselungsschlüssel für die Laufzeitdatenbank auswählen |
cloudkms.cryptoKeys.create cloudkms.keyRings.create |
Nur kostenpflichtig | Verschlüsselungsschlüssel für die Laufzeitdatenbank erstellen |
cloudkms.cryptoKeys.getIamPolicy cloudkms.cryptoKeys.setIamPolicy |
Nur kostenpflichtig | Apigee-Dienstkonto die Berechtigung zur Verwendung eines Verschlüsselungsschlüssels erteilen |
Berechtigungen zur Erstellung einer Organisation (Evaluierungsorganisation)
Diese Berechtigung ist erforderlich, um Analyse- und Laufzeit-Hosting-Regionen für eine Evaluierungsorganisation auszuwählen:
Berechtigungen | Kontotyp | Zweck |
---|---|---|
compute.regions.list |
Nur Evaluierungsorganisationen | Analyse- und Laufzeit-Hosting-Regionen auswählen |
Berechtigungen für das Dienstnetzwerk
Diese Berechtigungen sind in den Schritten der Dienstnetzwerkkonfiguration erforderlich. Wenn Sie ein freigegebenes VPC-Netzwerk verwenden, finden Sie weitere Informationen unter Dienstnetzwerkberechtigungen mit freigegebener VPC.
Berechtigungen | Kontotyp | Zweck |
---|---|---|
compute.globalAddresses.createInternal compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.networks.get
compute.networks.list
compute.networks.use
compute.projects.get
servicenetworking.operations.get
servicenetworking.services.addPeering
servicenetworking.services.get
|
Kostenpflichtig und Evaluierung | Diese Berechtigungen sind erforderlich, um die Aufgaben im Schritt zur Konfiguration des Dienstnetzwerks auszuführen. |
Dienstnetzwerkberechtigungen mit freigegebener VPC
Wenn Sie ein freigegebenes VPC-Netzwerk (Shared Virtual Private Cloud) verwenden, muss ein Nutzer mit Administratorberechtigungen im freigegebenen VPC-Projekt das VPC-Projekt mit Apigee verbinden, wie unter Freigegebene VPC-Netzwerke verwenden beschrieben. Das Peering muss abgeschlossen sein, bevor der Apigee-Administrator die Schritte für das Dienstnetzwerk ausführen kann. Siehe auch Administratoren und IAM.
Wenn eine freigegebene VPC ordnungsgemäß eingerichtet ist, benötigt der Apigee-Administrator diese Berechtigungen, um die Schritte zur Konfiguration des Dienstnetzwerks auszuführen:
Berechtigungen | Kontotyp | Zweck |
---|---|---|
compute.projects.get
|
Kostenpflichtig und Evaluierung | Der Apigee-Administrator muss diese Berechtigung in dem Projekt haben, in dem Apigee installiert ist. Diese Berechtigung ermöglicht dem Administrator, die ID des Hostprojekts mit freigegebener VPC aufzurufen. |
Rolle "Compute-Netzwerknutzer" ( compute.networkUser ) |
Kostenpflichtig und Evaluierung | Diese Rolle muss dem Apigee-Administrator im Hostprojekt mit freigegebener VPC zugewiesen werden. Mit dieser Rolle kann der Administrator das freigegebene VPC-Netzwerk in der Apigee-Bereitstellungs-UI aufrufen und auswählen. |
Berechtigungen für Laufzeitinstanz
Diese Berechtigungen werden zum Erstellen einer Laufzeitinstanz benötigt (nur für Abo- und Pay-as-you-go-Konten):
Berechtigungen | Kontotyp | Zweck |
---|---|---|
compute.regions.list |
Nur kostenpflichtig | Laufzeit-Hosting-Standort auswählen |
cloudkms.cryptoKeys.list cloudkms.locations.list cloudkms.keyRings.list
|
Nur kostenpflichtig | Verschlüsselungsschlüssel für Laufzeitlaufwerk auswählen |
cloudkms.cryptoKeys.create cloudkms.keyRings.create |
Nur kostenpflichtig | Verschlüsselungsschlüssel für Laufzeitlaufwerk erstellen |
cloudkms.cryptoKeys.getIamPolicy cloudkms.cryptoKeys.setIamPolicy |
Nur kostenpflichtig | Apigee-Dienstkonto die Berechtigung zur Verwendung eines Verschlüsselungsschlüssels erteilen |
Berechtigungen für Zugriffsrouting
Diese Berechtigungen werden für die Schritte für das Zugriffsrouting benötigt:
Berechtigungen | Kontotyp | Zweck |
---|---|---|
compute.autoscalers.create compute.backendServices.create compute.backendServices.use compute.disks.create compute.globalAddresses.create compute.globalAddresses.get compute.globalAddresses.list compute.globalAddresses.use compute.globalForwardingRules.create compute.globalOperations.get compute.firewalls.create compute.firewalls.get compute.healthChecks.create compute.healthChecks.useReadOnly compute.images.get compute.images.useReadOnly compute.instances.create compute.instances.setMetadata compute.instanceGroups.use compute.instanceGroupManagers.create compute.instanceGroupManagers.use compute.instanceTemplates.get compute.instanceTemplates.create compute.instanceTemplates.useReadOnly compute.networks.get compute.networks.list compute.networks.updatePolicy compute.networks.use compute.regionOperations.get compute.regionNetworkEndpointGroups.create compute.regionNetworkEndpointGroups.use compute.sslCertificates.create compute.sslCertificates.get compute.subnetworks.get compute.subnetworks.list compute.subnetworks.setPrivateIpGoogleAccess compute.subnetworks.use compute.targetHttpsProxies.create compute.targetHttpsProxies.use compute.urlMaps.create compute.urlMaps.use
|
Kostenpflichtig und Evaluierung | Basiszugriffsrouting konfigurieren |
Zugriffsrouting-Berechtigungen mit freigegebener VPC
Wenn Sie ein freigegebenes VPC-Netzwerk (Virtual Private Cloud) verwenden, müssen Sie beachten, dass die Konfiguration der freigegebenen VPC und das Peering abgeschlossen sein müssen, bevor Sie den Schritt für das Zugriffsrouting ausführen können.
Nachdem die freigegebene VPC ordnungsgemäß eingerichtet wurde, benötigt der Apigee-Administrator die Rolle compute.networkUser
im Projekt der freigegebenen VPC, um die Schritte für das Zugriffsrouting auszuführen. Siehe auch Erforderliche administrative Rollen für freigegebene VPC.