本頁適用於 Apigee 和 Apigee Hybrid。
查看
Apigee Edge 說明文件。
本頁面列出使用及管理 Apigee Spaces 和 Space 資源時,需要的身分與存取權管理角色和權限。
使用聊天室時,請務必注意,IAM 角色和權限主要會在聊天室層級授予,讓 Apigee 使用者僅能查看及管理指派給聊天室的 API 資源子集。這項行為的變更與未使用 Spaces 的 Apigee 情境不同,且為 Apigee 使用者管理 API 資源而授予的角色和權限,通常會啟用該類型資源的所有存取權。
如要進一步瞭解使用聊天室時所需的預設角色和權限,請參閱以下各節:
建立及管理 Apigee Space 的角色和權限
我們已在 IAM 中新增角色和權限,讓 Apigee 組織更容易在常見用途中使用 Apigee Spaces,如以下各節所示。
Apigee Spaces 的預先定義角色
| 角色 | 說明 | 範圍 |
|---|---|---|
apigee.spaceContentEditor |
可完整存取能與空間建立關聯的資源。這個角色應在空間層級授予。 | Apigee 空間 |
apigee.spaceContentViewer |
可讀取能與空間建立關聯的資源。這個角色應在空間層級授予。 | Apigee 空間 |
apigee.spaceConsoleUser |
提供使用 Google Cloud 控制台管理聊天室資源所需的最低權限。在 Google Cloud 專案層級授予該空間資源存取權的使用者。 | Google Cloud 專案 |
如要讓聊天室成員管理該聊天室中的資源,請使用聊天室資源的 setIamPolicy 方法,將 apigee.spaceContentEditor 角色授予成員。詳情請參閱「
將機構成員新增至聊天室」。
如要讓聊天室成員使用 Cloud 控制台中的 Apigee UI 管理聊天室資源,請授予成員 Google Cloud 專案的 apigee.spaceConsoleUser 角色。詳情請參閱「在 Google Cloud 控制台查看 Space 資源」。
如果您遇到更複雜的情況,或是想瞭解使用 Spaces 會如何變更 IAM 權限階層,請參閱 Apigee Spaces 中的 IAM 權限階層。
建立及管理 Apigee Spaces 所需的權限
我們已在 IAM 中新增權限,讓您可以建立及管理工作區,如下表所述。已指派 apigee.admin 角色的 Apigee 使用者,將擁有在 Apigee 機構中建立及管理聊天室所需的權限。
| 作業 | 權限不足 |
|---|---|
| 建立聊天室 | apigee.spaces.create |
| 更新聊天室 | apigee.spaces.update |
| 刪除聊天室 | apigee.spaces.delete |
| 取得聊天室詳細資料 | apigee.spaces.get |
| 列出 Apigee 機構中的所有工作區 | apigee.spaces.list |
| 取得與工作區相關聯的 IAM 政策 | apigee.spaces.getIamPolicy |
| 設定與工作區相關聯的 IAM 政策 | apigee.spaces.setIamPolicy |
在 Google Cloud 控制台中查看 Space 資源
如要使用 Cloud 控制台的 Apigee UI 查看與工作區相關聯的 API 資源,使用者必須獲得自訂角色:apigee.spaceConsoleUser。
如要進一步瞭解如何使用 UI 查看及管理 Spaces 中的 API 資源,請參閱「在 Apigee Spaces 中管理 API 資源」。
請確認已將此自訂角色授予所有想在 Cloud 控制台中使用 Apigee 查看及管理空間資源的使用者。如果 IAM 中尚未為使用者提供 apigee.spaceConsoleUser 角色,請要求貴機構的管理員為機構的 Google Cloud 專案新增角色。
管理員可以使用下列指令建立角色:
gcloud iam roles create apigee.spaceConsoleUser \ --project="PROJECT_ID" \ --title="Apigee Space Console User" \ --description="Apigee Space Console User"\ --permissions="apigee.entitlements.get,apigee.organizations.get,apigee.organizations.list,apigee.projectorganizations.get,resourcemanager.projects.get,apigee.spaces.list,apigee.spaces.get,apigee.deployments.list,apigee.environments.list,apigee.environments.get,apigee.envgroups.list,apigee.envgroupattachments.list,apigee.instances.list,apigee.apps.list" \ --stage=GA
將 PROJECT_ID 替換為建立 Apigee 機構的 Google Cloud 專案名稱。
在 Google Cloud 控制台中使用 IAM 查看及指派角色
您可以使用 Google Cloud 主控台中的身分與存取權管理功能,在 Google Cloud 專案層級確認授予聊天室成員和機構管理員的角色指派和權限。
如何檢查角色
-
前往 Google Cloud 控制台的「IAM」頁面。
前往「身分與存取權管理」頁面 - 選取專案。
-
在「Principal」欄中,找出所有標示您或您所屬群組的資料列。如要瞭解您加入了哪些群組,請與管理員聯絡。
- 針對所有指定或包含您的資料列,檢查「角色」欄,確認角色清單是否包含必要的角色。
如何授予角色
-
前往 Google Cloud 控制台的「IAM」頁面。
前往「IAM」頁面 - 選取專案。
- 按一下 「授予存取權」。
-
在「New principals」(新增主體) 欄位中輸入使用者 ID。 通常是 Google 帳戶的電子郵件地址。
- 在「請選擇角色」清單中,選取角色。
- 如要授予其他角色,請按一下 「Add another role」(新增其他角色),然後新增其他角色。
- 按一下「儲存」。
如要查看在聊天室層級套用的 IAM 政策,請參閱「 管理聊天室中的成員和角色」。