このページは Apigee と Apigee ハイブリッドに適用されます。
Apigee Edge のドキュメントを表示する。
このページでは、Apigee Space と Space リソースの使用と管理に必要な Identity and Access Management のロールと権限について説明します。
Space を使用する場合、IAM ロールと権限は主に Space レベルで付与され、Apigee ユーザーは Space に割り当てられた API リソースのサブセットのみを表示および管理できることに注意してください。これは、Space が使用されていない Apigee コンテキストとは動作が異なります。通常、API リソースの管理のために Apigee ユーザーに付与されるロールと権限により、そのタイプのすべてのリソースへのアクセスが有効になります。
Space の使用時に必要なデフォルトのロールと権限の詳細については、次のセクションをご覧ください。
- Apigee Space を作成して管理するためのロールと権限
- Google Cloud コンソールで Space リソースを表示する
- Google Cloud コンソールで IAM を使用してロールを表示および割り当てる
Apigee Space を作成して管理するためのロールと権限
以下の各セクションで説明するように、一般的なユースケースにおいて Apigee 組織で Apigee Space を簡単に使用できるように、IAM に新しいロールと権限が追加されました。
Apigee Space の事前定義ロール
| ロール | 説明 | スコープ |
|---|---|---|
apigee.spaceContentEditor |
Space に関連付けることができるリソースに対する完全アクセス権を付与します。このロールは Space レベルで付与する必要があります。 | Apigee Space |
apigee.spaceContentViewer |
Space に関連付けることができるリソースに対する読み取りアクセス権を付与します。このロールは Space レベルで付与する必要があります。 | Apigee Space |
apigee.spaceConsoleUser |
Google Cloud コンソールを使用して Space 内のリソースを管理するために必要な最小限の権限を付与します。 Google Cloud プロジェクト レベルで、その Space 内のリソースにアクセスできるユーザーに付与されます。 | Google Cloud プロジェクト |
Space メンバーがその Space のリソースを管理できるようにするには、Space リソースの setIamPolicy メソッドを使用して、メンバーに apigee.spaceContentEditor ロールを付与します。詳細については、Space に組織メンバーを追加するをご覧ください。
Space メンバーが Cloud コンソールの Apigee UI を使用して Space リソースを管理できるようにするには、メンバーに Google Cloud プロジェクトに対する apigee.spaceConsoleUser ロールを付与します。詳細については、 Google Cloud コンソールで Space リソースを表示するをご覧ください。
より複雑なシナリオがある場合や、Space の使用によって IAM 権限階層がどのように変化するかを理解したい場合は、Apigee Space の IAM 権限階層をご覧ください。
Apigee Space の作成と管理に必要な権限
次の表に示すように、Space の作成と管理を可能にするために、IAM に新しい権限が追加されました。apigee.admin ロールが割り当てられている Apigee ユーザーには、Apigee 組織で Space を作成して管理するために必要な権限が付与されます。
| オペレーション | 権限が必要 |
|---|---|
| Space を作成する | apigee.spaces.create |
| Space を更新する | apigee.spaces.update |
| Space を削除する | apigee.spaces.delete |
| Space の詳細を取得する | apigee.spaces.get |
| Apigee 組織内のすべての Space を一覧表示する | apigee.spaces.list |
| Space に関連付けられた IAM ポリシーを取得する | apigee.spaces.getIamPolicy |
| Space に関連付けられた IAM ポリシーを設定する | apigee.spaces.setIamPolicy |
Google Cloud コンソールで Space リソースを表示する
Cloud コンソールの Apigee UI を使用して Space に関連付けられた API リソースを表示するには、カスタムロール apigee.spaceConsoleUser が付与されている必要があります。
UI を使用して Space で API リソースを表示および管理する際の詳細については、Apigee Space で API リソースを管理するをご覧ください。
Cloud コンソールの Apigee を使用して Space リソースを表示および管理するユーザーに、このカスタムロールが付与されていることを確認します。ユーザーの IAM で apigee.spaceConsoleUser ロールをまだ使用できない場合は、組織の Google Cloud プロジェクトにロールを追加するよう組織管理者に依頼してください。
管理者は、次のコマンドを使用してロールを作成できます。
gcloud iam roles create apigee.spaceConsoleUser \ --project="PROJECT_ID" \ --title="Apigee Space Console User" \ --description="Apigee Space Console User"\ --permissions="apigee.entitlements.get,apigee.organizations.get,apigee.organizations.list,apigee.projectorganizations.get,resourcemanager.projects.get,apigee.spaces.list,apigee.spaces.get,apigee.deployments.list,apigee.environments.list,apigee.environments.get,apigee.envgroups.list,apigee.envgroupattachments.list,apigee.instances.list,apigee.apps.list" \ --stage=GA
PROJECT_ID は、Apigee 組織が作成された Google Cloud プロジェクトの名前に置き換えます。
Google Cloud コンソールで IAM を使用してロールを表示および割り当てる
Space のメンバーと組織管理者に付与されているロールの割り当てと権限は、 Google Cloud コンソールの IAM を使用して Google Cloud プロジェクト レベルで確認できます。
ロールを確認する
-
Google Cloud コンソールで、[IAM] ページに移動します。
[IAM] に移動 - プロジェクトを選択します。
-
[プリンシパル] 列で、自分または自分が所属するグループの行をすべて確認します。所属するグループについては、管理者にお問い合わせください。
- 自分のメールアドレスを含む行の [ロール] 列で、ロールのリストに必要なロールが含まれているかどうか確認します。
ロールを付与する
-
Google Cloud コンソールで、[IAM] ページに移動します。
[IAM] に移動 - プロジェクトを選択します。
- [アクセスを許可] をクリックします。
-
[新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Google アカウントのメールアドレスです。
- [ロールを選択] リストでロールを選択します。
- 追加のロールを付与するには、[ 別のロールを追加] をクリックしてロールを追加します。
- [保存] をクリックします。
Space レベルで適用されている IAM ポリシーを確認するには、Space のメンバーとロールを管理するをご覧ください。