Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מידע על הרשאות הקצאת משאבים ב-Apigee

הדף הזה מתייחס ל-Apigee, אבל לא ל-Apigee Hybrid.

לעיון במסמכי התיעוד של Apigee Edge

במאמר הזה מוסבר על הרשאות IAM ב-Google Cloud שנדרשות כדי להקצות את Apigee בהצלחה.

אפשר לציין הרשאות באמצעות:

תפקידים מוגדרים מראש: מספקים הרשאה מספקת לביצוע שלבי ההקצאה. יכול להיות שתפקידים מוגדרים מראש יתנו לאדמין של Apigee יותר הרשאות ממה שהוא צריך כדי להשלים את הקצאת ההרשאות.
תפקידים בהתאמה אישית: צריך לספק את ההרשאות המינימליות שנדרשות לביצוע שלבי ההקצאה.

תפקיד הבעלים של פרויקט בענן ב-Google Cloud

לבעלים של פרויקט בענן של Google שמשמש להקצאת משאבים ב-Apigee כבר יש הרשאות לבצע את כל השלבים הבסיסיים של הקצאת משאבים ב-Apigee.

אם כלי ההקצאה של Apigee לא מוגדר כבעלים של הפרויקט, צריך להשתמש במסמך הזה כדי לקבוע את ההרשאות שנדרשות לביצוע כל אחד משלבי ההקצאה.

אם אתם משתמשים ברשתות של ענן וירטואלי פרטי (VPC) משותף, נדרשות הרשאות נוספות בפרויקט ה-VPC המשותף, והמקרים האלה מצוינים גם במסמך הזה.

תפקידים מוגדרים מראש

אם אתם רק רוצים לוודא שלאדמין של Apigee יש מספיק הרשאות כדי להשלים את הקצאת המשאבים, אתם יכולים להקצות לו את התפקידים המוגדרים מראש ב-IAM הבאים. עם זאת, יכול להיות שהתפקידים המוגדרים מראש יתנו לאדמין של Apigee יותר הרשאות ממה שהוא צריך כדי להשלים את הקצאת המשאבים. כדי להעניק את ההרשאות המינימליות הנדרשות, אפשר לעיין במאמר בנושא תפקידים והרשאות בהתאמה אישית.

איך מציינים תפקיד מוגדר מראש

כדי להוסיף משתמשים ותפקידים:

במסוף Google Cloud , עוברים אל IAM & Admin > IAM בפרויקט.

כניסה לדף IAM
כדי להוסיף משתמש חדש:
1. לוחצים על הענקת גישה.
2. מקלידים שם חדש לחשבון המשתמש.
3. לוחצים על התפריט Select a role ומקלידים את שם התפקיד בשדה Filter. לדוגמה, Apigee Organization Admin. לוחצים על התפקיד שמופיע בתוצאות.
4. לוחצים על Save.
כדי לערוך משתמש קיים:
1. לוחצים על עריכה.
2. כדי לשנות תפקיד קיים, לוחצים על התפריט Role ואז בוחרים תפקיד אחר.
3. כדי להוסיף עוד תפקיד, לוחצים על הוספת תפקיד נוסף.
4. לוחצים על התפריט Select a role ומקלידים את שם התפקיד בשדה Filter. לדוגמה, Apigee Organization Admin. לוחצים על התפקיד שמופיע בתוצאות.
5. לוחצים על Save.

תפקיד	חובה בשביל שלבים	סוג חשבון	מטרה
אדמין ארגוני ב-Apigee `apigee.admin`	התחלת הקצאת הרשאות ל-Apigee יצירת ארגון יצירת סביבה יצירת מופע של Apigee	בתשלום ובניסיון	מעניקה גישה מלאה לכל התכונות של משאבי Apigee.
אדמין של Service Usage `serviceusage.serviceUsageAdmin`	הפעלת ממשקי ה-API	בתשלום ובניסיון	אפשרות להפעיל, להשבית ולבדוק את מצבי השירות, לבדוק פעולות ולצרוך מכסה וחיוב עבור פרויקט צרכן.
Cloud KMS Admin `cloudkms.admin`	יצירת ארגון הגדרת מופע בזמן ריצה	בתשלום בלבד	יצירה של מפתחות ושל מחזיקי מפתחות ב-Cloud KMS.
אדמין של Compute `compute.admin`	יצירת ארגון הגדרת מופע בזמן ריצה הגדרת רשתות שירות הגדרת ניתוב גישה (כדי ליצור את מאזן העומסים החיצוני מסוג HTTPS)	בתשלום ובניסיון	הצגת אזורי Compute, הגדרת רשת שירות ויצירת מאזן עומסים חיצוני מסוג HTTPS.

תפקידים והרשאות בהתאמה אישית

כדי לספק את ההרשאות המינימליות הנדרשות, צריך ליצור תפקיד ב-IAM בהתאמה אישית ולהקצות הרשאות מהקטעים הבאים.

איך מציינים תפקיד בהתאמה אישית

כדי להוסיף תפקיד בהתאמה אישית:

במסוף Google Cloud , עוברים אל IAM & Admin > Roles (ניהול הרשאות גישה ואדמין > תפקידים) בפרויקט.

כניסה לדף IAM & Admin/Roles
כדי להוסיף תפקיד חדש:
1. לוחצים על יצירת תפקיד.
2. כותבים שם חדש.
3. מקלידים תיאור (אופציונלי).
4. מקלידים מזהה.
5. בוחרים שלב השקה של תפקיד.
6. לוחצים על הוספת הרשאות.
7. מעתיקים את הטקסט של ההרשאה הרצויה מהטבלאות שלמטה ומדביקים אותו בשדה Filter (מסנן). לדוגמה, apigee.environments.create.
8. מקישים על Enter או לוחצים על פריט מהתוצאות.
9. מסמנים את התיבה שלצד הפריט שנוסף.
10. לוחצים על הוספה.
  הערה: כדי להוסיף כמה הרשאות בבת אחת:
  - בוחרים באופרטור OR בין כל הרשאה שמוסיפים, או
  - מחפשים מחרוזת הרשאות חלקית, למשל, apigee.environments, מסמנים כמה תיבות סימון, ואז לוחצים על שמירה.
11. אחרי שמוסיפים את כל ההרשאות לתפקיד, לוחצים על יצירה.
כדי לערוך תפקיד קיים בהתאמה אישית:
1. מאתרים את התפקיד בהתאמה אישית.
2. לוחצים על אפשרויות נוספות > עריכה.
3. מבצעים את השינויים הרצויים.
4. לוחצים על עדכון.

הרשאות ניהול של Apigee מבוססות ממשק משתמש

ההרשאה הזו נדרשת לכל המשתמשים שינהלו ארגון דרך ממשק המשתמש של Apigee ב-מסוף Cloud. כוללים אותו בתפקידים בהתאמה אישית שכוללים ניהול דרך הממשק הזה.

תפקיד	סוג חשבון	מטרה
`apigee.projectorganizations.get`	בתשלום ובניסיון	לבצע פעולות באמצעות ממשק המשתמש של Apigee במסוף Cloud.

הקצאת הרשאות

כדי להתחיל להקצות את Apigee, נדרשות ההרשאות הבאות:

תפקיד	סוג חשבון	מטרה
`apigee.entitlements.get` `apigee.environments.create` `apigee.environments.get` `apigee.environments.list` `apigee.envgroups.create` `apigee.envgroups.get` `apigee.envgroups.list` `apigee.envgroups.update` `apigee.envgroupattachments.create` `apigee.envgroupattachments.list` `apigee.instances.create` `apigee.instances.get` `apigee.instances.list` `apigee.instanceattachments.create` `apigee.instanceattachments.get` `apigee.instanceattachments.list` `apigee.operations.get` `apigee.operations.list` `apigee.organizations.create` `apigee.organizations.get` `apigee.organizations.update` `apigee.projectorganizations.get` `apigee.projects.update` `apigee.setupcontexts.get` `apigee.setupcontexts.update`	בתשלום ובניסיון	התחלת הקצאת הרשאות ל-Apigee יצירת ארגון יצירת סביבה יצירת מופע של Apigee

הרשאות להפעלת API

ההרשאות האלה נדרשות כדי להפעיל ממשקי API של Google Cloud:

תפקיד	סוג חשבון	מטרה
`serviceusage.services.get` `serviceusage.services.list` `serviceusage.services.enable`	בתשלום ובניסיון	הפעלת ממשקי API של Google Cloud

הרשאות ליצירת ארגון (ארגון בתשלום)

ההרשאות האלה נדרשות כדי ליצור ארגון Apigee לחשבונות בתשלום (מינוי או תשלום לפי שימוש):

הרשאות	סוג חשבון	מטרה
`compute.regions.list`	בתשלום בלבד	בחירת מיקום לאירוח של ניתוח הנתונים
`cloudkms.cryptoKeys.list` `cloudkms.locations.list` `cloudkms.keyRings.list`	בתשלום בלבד	בחירת מפתח להצפנת מסד נתונים בזמן ריצה
`cloudkms.cryptoKeys.create` `cloudkms.keyRings.create`	בתשלום בלבד	יצירת מפתח הצפנה של מסד נתונים בזמן ריצה
`cloudkms.cryptoKeys.getIamPolicy` `cloudkms.cryptoKeys.setIamPolicy`	בתשלום בלבד	מתן הרשאה לחשבון השירות של Apigee להשתמש במפתח הצפנה

הרשאות ליצירת ארגון (ארגון לצורך הערכה)

ההרשאה הזו נדרשת כדי לבחור אזורים של ניתוח נתונים ואירוח בזמן ריצה לארגון לצורך הערכה:

הרשאות	סוג חשבון	מטרה
`compute.regions.list`	ארגוני הערכה בלבד	בחירת אזורים לאירוח של ניתוח הנתונים וזמן הריצה

הרשאות ל-Service Networking

ההרשאות האלה נדרשות בשלבי ההגדרה של רשת השירות. אם אתם משתמשים ברשת VPC משותפת, כדאי לעיין במאמר בנושא הרשאות Service Networking עם VPC משותף.

הרשאות	סוג חשבון	מטרה
`compute.globalAddresses.createInternal` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalAddresses.use` `compute.networks.get` `compute.networks.list` `compute.networks.use` `compute.projects.get` `servicenetworking.operations.get` `servicenetworking.services.addPeering` `servicenetworking.services.get`	בתשלום ובניסיון	ההרשאות האלה נדרשות כדי לבצע את המשימות בשלב של הגדרת הרשת בשירות. הערה: אם אתם משתמשים ב רשתות של ענן וירטואלי פרטי (VPC) משותף, כדאי לעיין במאמר בנושא הרשאות של Service Networking עם VPC משותף.

הרשאות Service Networking עם VPC משותף

אם אתם משתמשים ברשתות של ענן וירטואלי פרטי (VPC) משותף, משתמש עם הרשאות אדמין בפרויקט ה-VPC המשותף צריך לבצע פעולת Peering בין פרויקט ה-VPC המשותף לבין Apigee, כמו שמתואר במאמר שימוש ברשתות VPC משותפות. הפירינג צריך להסתיים לפני שהאדמין של Apigee יוכל להשלים את השלבים של רשת השירות. כדאי לעיין גם במאמר בנושא אדמינים ו-IAM.

כשה-VPC המשותף מוגדר בצורה נכונה, לאדמין של Apigee צריכות להיות ההרשאות הבאות כדי להשלים את השלבים להגדרת Service Networking:

הרשאות	סוג חשבון	מטרה
`compute.projects.get`	בתשלום ובניסיון	למנהל Apigee צריכה להיות ההרשאה הזו בפרויקט שבו מותקן Apigee. ההרשאה הזו מאפשרת לאדמין לראות את מזהה הפרויקט המארח של ה-VPC המשותף.
התפקיד 'משתמש ברשת Compute' (`compute.networkUser`)	בתשלום ובניסיון	צריך להעניק לאדמין של Apigee את התפקיד הזה בפרויקט המארח של ה-VPC המשותף. התפקיד הזה מאפשר לאדמין להציג ולבחור את רשת ה-VPC המשותפת בממשק המשתמש של הקצאת הרשאות ב-Apigee.

הרשאות של מופע בזמן ריצה

צריך את ההרשאות האלה כדי ליצור מכונת זמן ריצה (בחשבונות עם מינוי ובתשלום לפי שימוש בלבד):

הרשאות	סוג חשבון	מטרה
`compute.regions.list`	בתשלום בלבד	בחירת מיקום לאירוח בזמן ריצה
`cloudkms.cryptoKeys.list` `cloudkms.locations.list` `cloudkms.keyRings.list`	בתשלום בלבד	בחירת מפתח הצפנה של דיסק בזמן ריצה
`cloudkms.cryptoKeys.create` `cloudkms.keyRings.create`	בתשלום בלבד	יצירת מפתח הצפנה של דיסק בזמן ריצה
`cloudkms.cryptoKeys.getIamPolicy` `cloudkms.cryptoKeys.setIamPolicy`	בתשלום בלבד	מתן הרשאה לחשבון השירות של Apigee להשתמש במפתח הצפנה

הרשאות ניתוב גישה

ההרשאות האלה נדרשות לשלבים של ניתוב הגישה:

הרשאות	סוג חשבון	מטרה
`compute.autoscalers.create` `compute.backendServices.create` `compute.backendServices.use` `compute.disks.create` `compute.globalAddresses.create` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalAddresses.use` `compute.globalForwardingRules.create` `compute.globalOperations.get` `compute.firewalls.create` `compute.firewalls.get` `compute.healthChecks.create` `compute.healthChecks.useReadOnly` `compute.images.get` `compute.images.useReadOnly` `compute.instances.create` `compute.instances.setMetadata` `compute.instanceGroups.use` `compute.instanceGroupManagers.create` `compute.instanceGroupManagers.use` `compute.instanceTemplates.get` `compute.instanceTemplates.create` `compute.instanceTemplates.useReadOnly` `compute.networks.get` `compute.networks.list` `compute.networks.updatePolicy` `compute.networks.use` `compute.regionOperations.get` `compute.regionNetworkEndpointGroups.create` `compute.regionNetworkEndpointGroups.delete` `compute.regionNetworkEndpointGroups.use` `compute.sslCertificates.create` `compute.sslCertificates.get` `compute.subnetworks.get` `compute.subnetworks.list` `compute.subnetworks.setPrivateIpGoogleAccess` `compute.subnetworks.use` `compute.targetHttpsProxies.create` `compute.targetHttpsProxies.use` `compute.urlMaps.create` `compute.urlMaps.use`	בתשלום ובניסיון	הגדרת ניתוב גישה בסיסי הערה: אם אתם משתמשים ב רשתות של ענן וירטואלי פרטי (VPC) משותף, כדאי לעיין במאמר בנושא הרשאות ניתוב גישה עם VPC משותף.

הרשאות גישה לניתוב באמצעות VPC משותף

אם אתם משתמשים ב רשתות של ענן וירטואלי פרטי (VPC) משותף, חשוב לדעת שצריך להשלים את ההגדרה של ה-VPC המשותף ואת הקישור בין רשתות VPC שכנות (peering) לפני שמבצעים את שלב ניתוב הגישה.

אחרי שמגדירים את ה-VPC המשותף בצורה תקינה, אדמין Apigee צריך את התפקיד compute.networkUser בפרויקט ה-VPC המשותף כדי להשלים את השלבים של ניתוב הגישה. אפשר גם לעיין במאמר בנושא תפקידי אדמין נדרשים ל-VPC משותף.