Questa pagina si applica ad Apigee e Apigee hybrid.
Visualizza la documentazione di
Apigee Edge.
Questa pagina elenca i ruoli e le autorizzazioni di Identity and Access Management necessari per utilizzare e gestire gli spazi Apigee e le risorse dello spazio.
Quando utilizzi gli spazi, è importante tenere presente che i ruoli e le autorizzazioni IAM vengono concessi principalmente a livello di spazio e consentono agli utenti di Apigee di visualizzare e gestire solo il sottoinsieme di risorse API assegnate allo spazio. Si tratta di un cambiamento di comportamento rispetto ai contesti Apigee in cui gli spazi non vengono utilizzati e i ruoli e le autorizzazioni concessi agli utenti di Apigee per la gestione delle risorse API in genere consentono l'accesso a tutte le risorse di quel tipo.
Per scoprire di più sui ruoli e sulle autorizzazioni predefinite richiesti per l'utilizzo di Spazi, consulta le seguenti sezioni:
- Ruoli e autorizzazioni per creare e gestire gli spazi Apigee
- Visualizzare le risorse dello spazio nella console Google Cloud
- Visualizzare e assegnare i ruoli utilizzando IAM nella console Google Cloud
Ruoli e autorizzazioni per creare e gestire gli spazi Apigee
A IAM sono stati aggiunti nuovi ruoli e autorizzazioni per semplificare l'utilizzo di Apigee Spaces nelle organizzazioni Apigee per i casi d'uso comuni, come mostrato nelle sezioni seguenti.
Ruoli predefiniti per Apigee Spaces
| Ruolo | Descrizione | Ambito |
|---|---|---|
apigee.spaceContentEditor |
Fornisce l'accesso completo alle risorse che possono essere associate a uno spazio. Questo ruolo deve essere concesso a livello di spazio. | Apigee Space |
apigee.spaceContentViewer |
Fornisce l'accesso di sola lettura alle risorse che possono essere associate a uno spazio. Questo ruolo deve essere concesso a livello di spazio. | Apigee Space |
apigee.spaceConsoleUser |
Fornisce le autorizzazioni minime necessarie per gestire le risorse in uno spazio utilizzando la console Google Cloud. Concedi a livello di Google Cloud progetto agli utenti con accesso alle risorse nello spazio. | Google Cloud project |
Per consentire ai membri dello spazio di gestire le risorse al suo interno, utilizza il metodo setIamPolicy
su una risorsa dello spazio per concedere al membro il ruolo apigee.spaceContentEditor. Per ulteriori informazioni,
consulta
Aggiungere un membro dell'organizzazione a uno spazio.
Per consentire ai membri dello spazio di utilizzare l'interfaccia utente di Apigee nella console Cloud per gestire le risorse dello spazio,
concedi ai membri il ruolo apigee.spaceConsoleUser nel Google Cloud progetto. Per ulteriori informazioni, vedi Visualizzare le risorse Space nella console Google Cloud.
Se hai uno scenario più complesso o vuoi capire in che modo l'utilizzo di Spaces modifica la gerarchia delle autorizzazioni IAM, consulta la gerarchia delle autorizzazioni IAM in Apigee Spaces.
Autorizzazioni necessarie per creare e gestire gli spazi Apigee
A IAM sono state aggiunte nuove autorizzazioni per consentire la creazione e la gestione degli spazi, come descritto nella tabella seguente. Gli utenti Apigee a cui è stato assegnato il ruolo apigee.admin
avranno le autorizzazioni necessarie per creare e gestire uno spazio in un'organizzazione Apigee.
| Operazione | Autorizzazione richiesta |
|---|---|
| Creare uno spazio | apigee.spaces.create |
| Aggiornare uno spazio | apigee.spaces.update |
| Eliminare uno spazio | apigee.spaces.delete |
| Visualizzare i dettagli di uno spazio | apigee.spaces.get |
| Elenco di tutti gli spazi in un'organizzazione Apigee | apigee.spaces.list |
| Ottenere il criterio IAM associato a uno spazio | apigee.spaces.getIamPolicy |
| Imposta il criterio IAM associato a uno spazio | apigee.spaces.setIamPolicy |
Visualizzare le risorse di Space nella console Google Cloud
Per visualizzare le risorse API associate agli spazi utilizzando l'interfaccia utente di Apigee nella console Cloud,
agli utenti deve essere concesso un ruolo personalizzato: apigee.spaceConsoleUser.
Per ulteriori informazioni sull'utilizzo dell'interfaccia utente per visualizzare e gestire le risorse API negli spazi, consulta Gestire le risorse API in Apigee Spaces.
Verifica che questo ruolo personalizzato sia concesso a
qualsiasi utente che voglia utilizzare Apigee in Cloud Console per visualizzare e gestire le risorse dello spazio. Se il ruolo apigee.spaceConsoleUser non è già disponibile in IAM per i tuoi utenti, chiedi all'amministratore dell'organizzazione di aggiungerlo al progetto Google Cloud dell'organizzazione.
L'amministratore può creare il ruolo utilizzando il seguente comando:
gcloud iam roles create apigee.spaceConsoleUser \ --project="PROJECT_ID" \ --title="Apigee Space Console User" \ --description="Apigee Space Console User"\ --permissions="apigee.entitlements.get,apigee.organizations.get,apigee.organizations.list,apigee.projectorganizations.get,resourcemanager.projects.get,apigee.spaces.list,apigee.spaces.get,apigee.deployments.list,apigee.environments.list,apigee.environments.get,apigee.envgroups.list,apigee.envgroupattachments.list,apigee.instances.list,apigee.apps.list" \ --stage=GA
Sostituisci PROJECT_ID con il nome del Google Cloud progetto in cui è stata creata l'organizzazione Apigee.
Visualizzare e assegnare i ruoli utilizzando IAM nella console Google Cloud
Puoi verificare le assegnazioni dei ruoli e le autorizzazioni concesse ai membri dello spazio e agli amministratori dell'organizzazione a livello di Google Cloud progetto utilizzando IAM nella console Google Cloud.
Per controllare i ruoli
-
Nella console Google Cloud, vai alla pagina IAM.
Vai a IAM - Seleziona il progetto.
-
Nella colonna Principal, individua tutte le righe che ti identificano o un gruppo di cui fai parte. Per sapere a quali gruppi appartieni, contatta il tuo amministratore.
- Per tutte le righe che ti specificano o ti includono, controlla la colonna Ruolo per verificare se l'elenco dei ruoli include quelli richiesti.
Per concedere i ruoli
-
Nella console Google Cloud, vai alla pagina IAM.
Vai a IAM - Seleziona il progetto.
- Fai clic su Concedi l'accesso.
-
Nel campo Nuovi principali, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.
- Nell'elenco Seleziona un ruolo, seleziona un ruolo.
- Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
- Fai clic su Salva.
Per verificare le norme IAM applicate a livello di spazio, consulta Gestire membri e ruoli in uno spazio.