מידע על הרשאות הקצאת משאבים ב-Apigee

הדף הזה מתייחס ל-Apigee, אבל לא ל-Apigee Hybrid.

לעיון במסמכי התיעוד של Apigee Edge

במאמר הזה מוסבר על הרשאות Cloud IAM ב-Google Cloud שנדרשות כדי להקצות את Apigee בהצלחה.

אפשר לציין הרשאות באמצעות:

  • תפקידים מוגדרים מראש: מספקים הרשאה מספקת לביצוע שלבי ההקצאה. יכול להיות שתפקידים מוגדרים מראש יתנו לאדמין של Apigee יותר הרשאות ממה שהוא צריך כדי להשלים את הקצאת ההרשאות.
  • תפקידים בהתאמה אישית: הקצאת ההרשאות המינימליות שנדרשות לביצוע שלבי ההקצאה.

תפקיד הבעלים של פרויקט בענן ב-Google Cloud

לבעלים של פרויקט Google Cloud שמשמש להקצאת משאבים ב-Apigee כבר יש הרשאה לבצע את כל השלבים הבסיסיים של הקצאת משאבים ב-Apigee.

אם כלי ההקצאה של Apigee לא מוגדר כבעלים של הפרויקט, צריך להשתמש במסמך הזה כדי לקבוע את ההרשאות שנדרשות לביצוע כל אחד משלבי ההקצאה.

אם אתם משתמשים ברשתות של ענן וירטואלי פרטי (VPC) משותף, נדרשות הרשאות נוספות בפרויקט ה-VPC המשותף, והמקרים האלה מצוינים גם במסמך הזה.

תפקידים מוגדרים מראש

אם אתם רק רוצים לוודא שלאדמין של Apigee יש מספיק הרשאות כדי להשלים את הקצאת ההרשאות, אתם יכולים להקצות לו את התפקידים המוגדרים מראש הבאים ב-IAM. עם זאת, יכול להיות שהתפקידים המוגדרים מראש יתנו לאדמין של Apigee יותר הרשאות ממה שהוא צריך כדי להשלים את הקצאת ההרשאות. כדי להעניק הרשאות מינימליות, אפשר לעיין במאמר בנושא תפקידים והרשאות בהתאמה אישית.

איך מציינים תפקיד מוגדר מראש

כדי להוסיף משתמשים ותפקידים:

  1. במסוף Google Cloud , עוברים אל IAM & Admin > IAM בפרויקט.

    כניסה לדף IAM

  2. כדי להוסיף משתמש חדש:
    1. לוחצים על הענקת גישה.
    2. מקלידים שם חדש של חשבון משתמש.
    3. לוחצים על התפריט Select a role ומקלידים את שם התפקיד בשדה Filter. לדוגמה, Apigee Organization Admin. לוחצים על התפקיד שמופיע בתוצאות.
    4. לוחצים על Save.
  3. כדי לערוך משתמש קיים:
    1. לוחצים על עריכה.
    2. כדי לשנות תפקיד קיים, לוחצים על התפריט Role ובוחרים תפקיד אחר.
    3. כדי להוסיף עוד תפקיד, לוחצים על הוספת תפקיד נוסף.
    4. לוחצים על התפריט Select a role ומקלידים את שם התפקיד בשדה Filter. לדוגמה, Apigee Organization Admin. לוחצים על התפקיד שמופיע בתוצאות.
    5. לוחצים על Save.
תפקיד חובה בשביל שלבים סוג חשבון מטרה
אדמין ארגוני ב-Apigee
apigee.admin
  • התחלת הקצאת הרשאות ל-Apigee
  • יצירת ארגון
  • יצירת סביבה
  • יצירת מופע של Apigee
 בתשלום ובשלב ההערכה מעניק גישה מלאה לכל התכונות של משאבי Apigee.
אדמין של שימוש בשירות
serviceusage.serviceUsageAdmin
  • הפעלת ממשקי ה-API
 בתשלום ובשלב ההערכה אפשרות להפעיל, להשבית ולבדוק את מצבי השירות, לבדוק פעולות ולצרוך מכסה וחיוב עבור פרויקט צרכן.
Cloud KMS Admin
cloudkms.admin
  • יצירת ארגון
  • הגדרת מופע של זמן ריצה
 בתשלום בלבד יצירה של מפתחות ושל אוספי מפתחות ב-Cloud KMS.
אדמין של Compute
compute.admin
  • יצירת ארגון
  • הגדרת מופע של זמן ריצה
  • הגדרת רשתות שירות
  • הגדרת ניתוב גישה (כדי ליצור את מאזן העומסים החיצוני מסוג HTTPS)
 בתשלום ובשלב ההערכה רישום אזורי Compute, הגדרת רשת שירות ויצירת מאזן עומסים חיצוני מסוג HTTPS.

תפקידים והרשאות בהתאמה אישית

כדי לספק את ההרשאות המינימליות הנדרשות, צריך ליצור תפקיד בהתאמה אישית ב-IAM ולהקצות הרשאות מהקטעים הבאים.

איך מציינים תפקיד בהתאמה אישית

כדי להוסיף תפקיד בהתאמה אישית:

  1. במסוף Google Cloud , עוברים אל IAM & Admin > Roles (ניהול הרשאות גישה ואדמין > תפקידים) בפרויקט.

    כניסה לדף IAM & Admin/Roles

  2. כדי להוסיף תפקיד חדש:
    1. לוחצים על יצירת תפקיד.
    2. כותבים שם חדש.
    3. מקלידים תיאור (אופציונלי).
    4. מקלידים מזהה.
    5. בוחרים שלב השקה של תפקיד.
    6. לוחצים על הוספת הרשאות.
    7. מעתיקים את הטקסט של ההרשאה הרצויה מהטבלאות שלמטה ומדביקים אותו בשדה Filter. לדוגמה, apigee.environments.create.
    8. מקישים על Enter או לוחצים על פריט מהתוצאות.
    9. מסמנים את התיבה שלצד הפריט שזה עתה נוסף.
    10. לוחצים על הוספה.
    11. אחרי שמוסיפים את כל ההרשאות לתפקיד הזה, לוחצים על יצירה.
  3. כדי לערוך תפקיד קיים בהתאמה אישית:
    1. מאתרים את התפקיד בהתאמה אישית.
    2. לוחצים על אפשרויות נוספות > עריכה.
    3. מבצעים את השינויים הרצויים.
    4. לוחצים על עדכון.

הרשאות ניהול של Apigee שמבוססות על ממשק משתמש

ההרשאה הזו נדרשת לכל המשתמשים שינהלו ארגון דרך ממשק המשתמש של Apigee ב-Cloud Console. כוללים אותו בתפקידים בהתאמה אישית שכוללים ניהול דרך הממשק הזה.

תפקיד סוג חשבון מטרה
apigee.projectorganizations.get
 בתשלום ובשלב ההערכה

הקצאת הרשאות

כדי להתחיל להקצות את Apigee נדרשות ההרשאות הבאות:

תפקיד סוג חשבון מטרה
apigee.entitlements.get
apigee.environments.create
apigee.environments.get
apigee.environments.list
apigee.envgroups.create
apigee.envgroups.get
apigee.envgroups.list
apigee.envgroups.update
apigee.envgroupattachments.create
apigee.envgroupattachments.list
apigee.instances.create
apigee.instances.get
apigee.instances.list
apigee.instanceattachments.create
apigee.instanceattachments.get
apigee.instanceattachments.list
apigee.operations.get
apigee.operations.list
apigee.organizations.create
apigee.organizations.get
apigee.organizations.update
apigee.projectorganizations.get
apigee.projects.update
apigee.setupcontexts.get
apigee.setupcontexts.update 		בתשלום ובשלב ההערכה
  • התחלת הקצאת הרשאות ב-Apigee
  • יצירת ארגון
  • יצירת סביבה
  • יצירת מופע של Apigee

הרשאות להפעלת API

ההרשאות האלה נדרשות כדי להפעיל ממשקי API של Google Cloud:

תפקיד סוג חשבון מטרה
serviceusage.services.get
serviceusage.services.list
serviceusage.services.enable		 בתשלום ובשלב ההערכה הפעלת ממשקי API של Google Cloud

הרשאות ליצירת ארגון (ארגון בתשלום)

ההרשאות האלה נדרשות כדי ליצור ארגון Apigee לחשבונות בתשלום (מינוי או תשלום לפי שימוש):

הרשאות סוג חשבון מטרה
compute.regions.list בתשלום בלבד בחירת מיקום לאירוח של ניתוח הנתונים
cloudkms.cryptoKeys.list
cloudkms.locations.list
cloudkms.keyRings.list 		בתשלום בלבד בחירת מפתח להצפנת מסד נתונים בזמן ריצה
cloudkms.cryptoKeys.create
cloudkms.keyRings.create		 בתשלום בלבד יצירת מפתח הצפנה של מסד נתונים בזמן ריצה
cloudkms.cryptoKeys.getIamPolicy
cloudkms.cryptoKeys.setIamPolicy		 בתשלום בלבד מתן הרשאה לחשבון השירות של Apigee להשתמש במפתח הצפנה

הרשאות ליצירת ארגון (ארגון לצורך הערכה)

ההרשאה הזו נדרשת כדי לבחור אזורים של ניתוח נתונים ואירוח בזמן ריצה לארגון לצורך הערכה:

הרשאות סוג חשבון מטרה
compute.regions.list ארגוני ניסיון בלבד בחירת אזורים לאירוח של ניתוח הנתונים וזמן הריצה

הרשאות ל-Service Networking

ההרשאות האלה נדרשות בשלבי ההגדרה של רשת השירות. אם אתם משתמשים ב-VPC משותף, כדאי לעיין במאמר בנושא הרשאות Service Networking עם VPC משותף.

הרשאות סוג חשבון מטרה
compute.globalAddresses.createInternal
compute.globalAddresses.get
 compute.globalAddresses.list
 compute.globalAddresses.use
 compute.networks.get
 compute.networks.list
 compute.networks.use
 compute.projects.get
 servicenetworking.operations.get
 servicenetworking.services.addPeering
 servicenetworking.services.get 		בתשלום ובשלב ההערכה

ההרשאות האלה נדרשות כדי לבצע את המשימות בשלב של הגדרת הרשת בשירות.

הרשאות Service Networking עם VPC משותף

אם אתם משתמשים ברשתות של ענן וירטואלי פרטי (VPC) משותף, משתמש עם הרשאות אדמין בפרויקט ה-VPC המשותף צריך לבצע Peering בין פרויקט ה-VPC המשותף לבין Apigee, כמו שמתואר במאמר שימוש ברשתות VPC משותפות. הפירינג צריך להסתיים לפני שהאדמין של Apigee יוכל להשלים את השלבים של רשת השירות. כדאי לעיין גם במאמר בנושא אדמינים ו-IAM.

כאשר ה-VPC המשותף מוגדר בצורה נכונה, לאדמין של Apigee צריכות להיות ההרשאות הבאות כדי להשלים את השלבים להגדרת Service Networking:

הרשאות סוג חשבון מטרה
compute.projects.get בתשלום ובשלב ההערכה

למנהל Apigee צריכה להיות ההרשאה הזו בפרויקט שבו Apigee מותקן. ההרשאה הזו מאפשרת לאדמין לראות את מזהה הפרויקט המארח של ה-VPC המשותף.

התפקיד 'משתמש ברשת Compute'
(compute.networkUser)		 בתשלום ובשלב ההערכה צריך להעניק את התפקיד הזה לאדמין של Apigee בפרויקט המארח של ה-VPC המשותף. התפקיד הזה מאפשר לאדמין להציג ולבחור את רשת ה-VPC המשותפת בממשק המשתמש של הקצאת הרשאות ב-Apigee.

הרשאות של מופע בזמן ריצה

צריך את ההרשאות האלה כדי ליצור מכונת זמן ריצה (רק בחשבונות עם מינוי ובחשבונות בתשלום לפי שימוש):

הרשאות סוג חשבון מטרה
compute.regions.list בתשלום בלבד בחירת מיקום לאירוח זמן הריצה
cloudkms.cryptoKeys.list
cloudkms.locations.list
cloudkms.keyRings.list 		בתשלום בלבד בחירת מפתח הצפנה של דיסק בזמן ריצה
cloudkms.cryptoKeys.create
cloudkms.keyRings.create		 בתשלום בלבד יצירת מפתח הצפנה של דיסק בזמן ריצה
cloudkms.cryptoKeys.getIamPolicy
cloudkms.cryptoKeys.setIamPolicy		 בתשלום בלבד מתן הרשאה לחשבון השירות של Apigee להשתמש במפתח הצפנה

הרשאות ניתוב גישה

ההרשאות האלה נדרשות לשלבים של ניתוב הגישה:

הרשאות סוג חשבון מטרה
compute.autoscalers.create
compute.backendServices.create
compute.backendServices.use
compute.disks.create
compute.globalAddresses.create
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.globalForwardingRules.create
compute.globalOperations.get
compute.firewalls.create
compute.firewalls.get
compute.healthChecks.create
compute.healthChecks.useReadOnly
compute.images.get
compute.images.useReadOnly
compute.instances.create
compute.instances.setMetadata
compute.instanceGroups.use
compute.instanceGroupManagers.create
compute.instanceGroupManagers.use
compute.instanceTemplates.get
compute.instanceTemplates.create
compute.instanceTemplates.useReadOnly
compute.networks.get
compute.networks.list
compute.networks.updatePolicy
compute.networks.use
compute.regionOperations.get
compute.regionNetworkEndpointGroups.create
compute.regionNetworkEndpointGroups.delete
compute.regionNetworkEndpointGroups.use
compute.sslCertificates.create
compute.sslCertificates.get
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.setPrivateIpGoogleAccess
compute.subnetworks.use
compute.targetHttpsProxies.create
compute.targetHttpsProxies.use
compute.urlMaps.create
compute.urlMaps.use 		בתשלום ובשלב ההערכה

הגדרת ניתוב גישה בסיסי

הרשאות ניתוב גישה באמצעות VPC משותף

אם אתם משתמשים ב רשתות של ענן וירטואלי פרטי (VPC) משותף, חשוב לדעת שצריך להשלים את ההגדרה של ה-VPC המשותף ואת הקישור בין רשתות ה-VPC השכנות (peering) לפני שמבצעים את שלב ניתוב הגישה.

אחרי שמגדירים את ה-VPC המשותף בצורה תקינה, אדמין Apigee צריך את התפקיד compute.networkUser בפרויקט ה-VPC המשותף כדי להשלים את השלבים של ניתוב הגישה. מידע נוסף זמין במאמר בנושא תפקידי אדמין נדרשים ל-VPC משותף.