Tentang izin penyediaan Apigee

Halaman ini berlaku untuk Apigee, tetapi tidak untuk Apigee Hybrid.

Dokumen ini menjelaskan izin Google Cloud IAM yang diperlukan agar berhasil menyediakan Apigee.

Anda dapat menentukan izin menggunakan hal berikut:

Peran yang telah ditetapkan: Berikan izin yang memadai untuk melakukan langkah-langkah penyediaan. Peran bawaan dapat memberi administrator Apigee izin lebih banyak daripada yang diperlukan untuk menyelesaikan penyediaan.
Peran khusus: Berikan hak istimewa yang paling tidak diperlukan untuk melakukan langkah-langkah penyediaan.

Peran pemilik project Google Cloud

Pemilik project Google Cloud yang digunakan untuk penyediaan Apigee telah memiliki izin untuk melakukan semua langkah penyediaan Apigee dasar.

Jika penyedia Apigee bukan pemilik project, gunakan dokumen ini untuk menentukan izin yang diperlukan dalam melakukan setiap langkah penyediaan.

Jika Anda menggunakan jaringan VPC Virtual Private Cloud (VPC), diperlukan izin tambahan dalam project VPC Bersama, dan kasus-kasus tersebut juga dicatat dalam dokumen ini.

Peran yang telah ditetapkan

Jika Anda hanya ingin memastikan bahwa administrator Apigee memiliki izin yang memadai untuk menyelesaikan penyediaan, berikan peran bawaan IAM berikut kepada administrator Apigee. Namun, peran yang telah ditetapkan dapat memberi administrator Apigee lebih banyak izin daripada yang diperlukan untuk menyelesaikan penyediaan. Lihat Peran dan izin khusus untuk memberikan hak istimewa yang paling tidak diperlukan.

Cara menentukan peran standar

Untuk menambahkan pengguna dan peran:

Di Konsol Google Cloud, buka IAM & Admin > IAM untuk project Anda.

Buka halaman IAM/Iam
Untuk menambahkan pengguna baru:
1. Klik Berikan akses.
2. Ketik nama Principal baru.
3. Klik menu Pilih peran, lalu ketik nama peran di kolom Filter. Misalnya, Apigee Organization Admin. Klik peran yang tercantum dalam hasil.
4. Klik Simpan.
Untuk mengedit pengguna yang ada:
1. Klik Edit.
2. Untuk mengubah peran yang ada, klik menu Peran, lalu pilih peran yang lain.
3. Untuk menambahkan peran lain, klik Tambahkan peran lain.
4. Klik menu Pilih peran, lalu ketik nama peran di kolom Filter. Misalnya, Apigee Organization Admin. Klik peran yang tercantum dalam hasil.
5. Klik Simpan.

Peran	Wajib untuk langkah-langkah	Jenis akun	Tujuan
Admin Organisasi Apigee `apigee.admin`	Memulai penyediaan Apigee Membuat organisasi Membuat lingkungan Membuat instance Apigee	Berbayar dan evaluasi	Memberikan akses penuh ke semua fitur resource Apigee.
Admin Service Usage `serviceusage.serviceUsageAdmin`	Mengaktifkan API	Berbayar dan evaluasi	Kemampuan untuk mengaktifkan, menonaktifkan, dan memeriksa status layanan, memeriksa operasi, serta menggunakan kuota dan penagihan untuk project konsumen.
Admin Cloud KMS `cloudkms.admin`	Membuat organisasi Mengonfigurasi instance runtime	Berbayar saja	Membuat kunci dan keyring Cloud KMS.
Admin Jaringan Compute `compute.networkAdmin`	Membuat organisasi Mengonfigurasi instance runtime Mengonfigurasi jaringan layanan Mengonfigurasi perutean akses (untuk membuat load balancer HTTPS eksternal)	Berbayar dan evaluasi	Mencantumkan region Compute, menyiapkan jaringan layanan, dan membuat load balancer HTTPS eksternal.

Peran dan izin khusus

Untuk memberikan hak istimewa yang paling tidak diperlukan, buat peran khusus IAM dan tetapkan izin dari bagian berikut.

Cara menentukan peran khusus

Untuk menambahkan peran khusus:

Di Konsol Google Cloud, buka IAM & Admin > Peran untuk project Anda.

Buka halaman IAM & Admin/Peran
Untuk menambahkan peran baru:
1. Klik Buat peran.
2. Ketik Judul baru.
3. Ketik Deskripsi (opsional).
4. Ketik ID.
5. Pilih Tahap peluncuran peran.
6. Klik Add permissions.
7. Salin teks izin yang diinginkan dari tabel di bawah dan tempelkan ke kolom Filter. Misalnya, apigee.environments.create.
8. Tekan Enter atau klik item dari hasil.
9. Centang kotak untuk item yang baru saja ditambahkan.
10. Klik Tambahkan.
  Catatan: Untuk menambahkan beberapa izin sekaligus:
  - Pilih operator OR di antara setiap izin saat Anda menambahkannya, atau
  - Telusuri string izin sebagian, misalnya apigee.environments, pilih beberapa kotak centang, lalu klik Save.
11. Setelah menambahkan semua izin untuk peran ini, klik Buat.
Untuk mengedit peran khusus yang sudah ada:
1. Cari peran khusus.
2. Klik Lainnya > Edit.
3. Buat perubahan yang diinginkan.
4. Klik Perbarui.

Izin pengelolaan Apigee berbasis UI

Izin ini diperlukan untuk semua pengguna yang akan mengelola organisasi melalui UI Apigee di Cloud Console. Sertakan dalam peran khusus yang melibatkan pengelolaan melalui antarmuka tersebut.

Peran	Jenis akun	Tujuan
`apigee.projectorganizations.get`	Berbayar dan evaluasi	Lakukan tindakan apa pun melalui UI Apigee di Cloud Console.

Izin penyediaan

Izin ini diperlukan untuk memulai penyediaan Apigee:

Peran	Jenis akun	Tujuan
`apigee.entitlements.get` `apigee.environments.create` `apigee.environments.get` `apigee.environments.list` `apigee.envgroups.create` `apigee.envgroups.get` `apigee.envgroups.list` `apigee.envgroups.update` `apigee.envgroupattachments.create` `apigee.envgroupattachments.list` `apigee.instances.create` `apigee.instances.get` `apigee.instances.list` `apigee.instanceattachments.create` `apigee.instanceattachments.get` `apigee.instanceattachments.list` `apigee.operations.get` `apigee.operations.list` `apigee.organizations.create` `apigee.organizations.get` `apigee.organizations.update` `apigee.projectorganizations.get` `apigee.projects.update` `apigee.setupcontexts.get` `apigee.setupcontexts.update`	Berbayar dan evaluasi	Memulai penyediaan Apigee Membuat organisasi Membuat lingkungan Membuat instance Apigee

Izin pengaktifan API

Izin ini diperlukan untuk mengaktifkan Google Cloud API:

Peran	Jenis akun	Tujuan
`serviceusage.services.get` `serviceusage.services.enable`	Berbayar dan evaluasi	Mengaktifkan Google Cloud API

Izin pembuatan organisasi (organisasi berbayar)

Izin ini diperlukan untuk membuat organisasi Apigee untuk akun berbayar (Langganan atau Bayar sesuai penggunaan):

Izin	Jenis akun	Tujuan
`compute.regions.list`	Berbayar saja	Memilih lokasi hosting analisis
`cloudkms.cryptoKeys.list` `cloudkms.locations.list` `cloudkms.keyRings.list`	Berbayar saja	Memilih kunci enkripsi database runtime
`cloudkms.cryptoKeys.create` `cloudkms.keyRings.create`	Berbayar saja	Membuat kunci enkripsi database runtime
`cloudkms.cryptoKeys.getIamPolicy` `cloudkms.cryptoKeys.setIamPolicy`	Berbayar saja	Memberi akun layanan Apigee izin untuk menggunakan kunci enkripsi

Izin pembuatan organisasi (eval org)

Izin ini diperlukan untuk memilih region hosting analisis dan runtime untuk organisasi evaluasi:

Izin	Jenis akun	Tujuan
`compute.regions.list`	Khusus organisasi eval	Memilih region hosting analisis dan runtime

Izin jaringan layanan

Izin ini diperlukan saat melakukan langkah-langkah konfigurasi jaringan layanan. Jika Anda menggunakan jaringan VPC Bersama, lihat Izin jaringan layanan dengan VPC Bersama.

Izin	Jenis akun	Tujuan
`compute.globalAddresses.createInternal` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalAddresses.use` `compute.networks.get` `compute.networks.list` `compute.networks.use` `compute.projects.get` `servicenetworking.operations.get` `servicenetworking.services.addPeering` `servicenetworking.services.get`	Berbayar dan evaluasi	Izin ini diperlukan untuk melakukan tugas pada langkah konfigurasi jaringan layanan. Catatan: Jika Anda menggunakan Jaringan Virtual Private Cloud (VPC) Bersama, lihat Izin jaringan layanan dengan VPC Bersama.

Izin jaringan layanan dengan VPC Bersama

Jika Anda menggunakan jaringan VPC Virtual Private Cloud (VPC), pengguna dengan hak istimewa administratif dalam project VPC Bersama harus melakukan peering project VPC Bersama dengan Apigee, seperti yang dijelaskan dalam Menggunakan jaringan VPC bersama. Peering harus diselesaikan sebelum admin Apigee dapat menyelesaikan langkah-langkah jaringan layanan. Lihat juga Administrator dan IAM.

Jika VPC Bersama sudah disiapkan dengan benar, admin Apigee memerlukan izin ini untuk menyelesaikan langkah-langkah konfigurasi jaringan layanan:

Izin	Jenis akun	Tujuan
`compute.projects.get`	Berbayar dan evaluasi	Admin Apigee harus memiliki izin ini dalam project tempat Apigee diinstal. Izin ini memungkinkan admin melihat ID project host VPC Bersama.
Peran Pengguna Jaringan Compute (`compute.networkUser`)	Berbayar dan evaluasi	Admin Apigee harus diberi peran ini di project host VPC Bersama. Peran ini memungkinkan admin melihat dan memilih jaringan VPC Bersama di UI penyediaan Apigee.

Izin instance runtime

Izin ini diperlukan untuk membuat instance runtime (khusus akun Langganan dan Bayar sesuai penggunaan):

Izin	Jenis akun	Tujuan
`compute.regions.list`	Berbayar saja	Memilih lokasi hosting runtime
`cloudkms.cryptoKeys.list` `cloudkms.locations.list` `cloudkms.keyRings.list`	Berbayar saja	Memilih kunci enkripsi disk runtime
`cloudkms.cryptoKeys.create` `cloudkms.keyRings.create`	Berbayar saja	Membuat kunci enkripsi disk runtime
`cloudkms.cryptoKeys.getIamPolicy` `cloudkms.cryptoKeys.setIamPolicy`	Berbayar saja	Memberi akun layanan Apigee izin untuk menggunakan kunci enkripsi

Izin pemilihan rute akses

Izin ini diperlukan untuk langkah-langkah pemilihan rute akses:

Izin	Jenis akun	Tujuan
`compute.autoscalers.create` `compute.backendServices.create` `compute.backendServices.use` `compute.disks.create` `compute.globalAddresses.create` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalAddresses.use` `compute.globalForwardingRules.create` `compute.globalOperations.get` `compute.firewalls.create` `compute.firewalls.get` `compute.healthChecks.create` `compute.healthChecks.useReadOnly` `compute.images.get` `compute.images.useReadOnly` `compute.instances.create` `compute.instances.setMetadata` `compute.instanceGroups.use` `compute.instanceGroupManagers.create` `compute.instanceGroupManagers.use` `compute.instanceTemplates.get` `compute.instanceTemplates.create` `compute.instanceTemplates.useReadOnly` `compute.networks.get` `compute.networks.list` `compute.networks.updatePolicy` `compute.networks.use` `compute.regionOperations.get` `compute.regionNetworkEndpointGroups.create` `compute.regionNetworkEndpointGroups.use` `compute.sslCertificates.create` `compute.sslCertificates.get` `compute.subnetworks.get` `compute.subnetworks.list` `compute.subnetworks.setPrivateIpGoogleAccess` `compute.subnetworks.use` `compute.targetHttpsProxies.create` `compute.targetHttpsProxies.use` `compute.urlMaps.create` `compute.urlMaps.use`	Berbayar dan evaluasi	Mengonfigurasi perutean akses dasar Catatan: Jika Anda menggunakan networking Virtual Private Cloud (VPC) Bersama, lihat Izin pemilihan rute akses dengan VPC Bersama.

Mengakses izin pemilihan rute dengan VPC Bersama

Jika Anda menggunakan jaringan Virtual Private Cloud (VPC) Bersama, perhatikan bahwa peering dan konfigurasi VPC Bersama harus diselesaikan sebelum Anda dapat melakukan langkah perutean akses.

Setelah VPC Bersama disiapkan dengan benar, admin Apigee memerlukan peran compute.networkUser dalam project VPC Bersama untuk menyelesaikan langkah-langkah pemilihan rute akses. Lihat juga Peran administratif yang diperlukan untuk VPC Bersama.