Funciones de Apigee

Esta página se aplica a Apigee y Apigee Hybrid.

Consulta la documentación de Apigee Edge.

En esta sección, se describen las funciones específicas de Apigee que suele asignar a sus usuarios. No son los mismos roles que asignas a las cuentas de servicio.

Funciones específicas de Apigee

Apigee proporciona un conjunto de roles predefinidos (o seleccionados) que son Google Cloud roles de IAM para Apigee. Entre otros permisos, estos roles predefinidos permiten a los usuarios realizar las siguientes acciones:

Obtener y enumerar organizaciones de Apigee
Obtener y enumerar entornos de Apigee
Obtener y enumerar Google Cloud proyectos

Roles a nivel del proyecto frente a roles a nivel del entorno

En Apigee, puedes otorgar roles en diferentes niveles de la jerarquía de recursos para controlar el alcance del acceso de un usuario:

A nivel del proyecto: Asignar un rol a nivel del proyecto Google Cloud otorga a ese usuario permisos en todas las organizaciones y entornos de Apigee dentro de ese proyecto.
A nivel del entorno: Asignar un rol a nivel del entorno restringe los permisos del usuario a un entorno específico (p.ej., "Prod", pero no "Dev"). Esto se hace con el método SetIamPolicy en el recurso del entorno.

Por ejemplo, puedes otorgarle a un usuario el rol de lector de la API para un entorno específico y convertirlo en administrador de solo lectura para ese entorno.

Roles principales de Apigee

En la siguiente tabla, se resumen las principales funciones de Apigee.

Nombre del rol	Descripción
`Analytics Editor`	Crea y analiza informes sobre el tráfico del proxy de API de una organización de Apigee. Puede editar informes y consultas.
`API Admin` (V2)	Es un desarrollador que crea y prueba proxies de API. Este rol brinda acceso completo de lectura y escritura a los productos y las apps de API, así como a los proxies de API, los flujos compartidos y las KVM. Esta función reemplaza la función `API Creator` obsoleta.
Lector de API (V2)	Proporciona acceso de solo lectura a la mayoría de las funciones de Apigee, incluidos los productos de API, los grupos de entornos, los entornos, las KVM, los proxies, los flujos compartidos y mucho más. Nota: Aunque el lector de API incluye permisos como `apigee.proxyrevisions.deploy` y `apigee.sharedflowrevisions.deploy`, es de solo lectura y solo incluye lo siguiente: aspectos específicos de lectura de esas funciones.
`Analytics Viewer`	Se pueden ver datos de estadísticas de una organización. Esta función puede obtener estadísticas de entorno.
`Environment Admin`	Esta función brinda acceso completo de lectura y escritura a los recursos del entorno de Apigee, incluidos los hooks de flujo, almacenes de claves, KVM, flujos compartidos y servidores de destino. Para obtener una lista completa de los permisos de este rol, consulta Roles de Apigee en la documentación de Cloud IAM. Nota: La implementación de un proxy de API requiere dos permisos: `apigee.deployments.create`: Este permiso se otorga con el rol de administrador de entorno a nivel del entorno. `apigee.proxyrevisions.deploy`: Este permiso se incluye en el rol de lector de la API. Dado que el rol de lector de API es a nivel de la organización, debes otorgarlo en la consola de Google Cloud a nivel del proyecto.
`Developer Admin`	Administra el acceso de los desarrolladores a las apps. Esta función puede leer productos de API y editar claves de aplicación, apps para desarrolladores y desarrolladores. Este rol también administra AppGroups.
`Org Admin`	Es un usuario avanzado con acceso total a todos los recursos de Apigee en la organización de Apigee. Este rol puede acceder a todas las acciones disponibles para todos los proxies de API. Esta es la única función que puede crear, borrar o actualizar organizaciones.
`Read Only Admin`	Es un administrador que puede ejecutar informes y ver todo en la organización de Apigee sin la capacidad de crear o cambiar nada. Esta función tiene acceso de lectura a todos los recursos de Apigee dentro de la organización de Apigee. A la cuenta de servicio de tu proyecto Google Cloud se le asigna este rol durante la instalación y configuración.

Cómo ver y administrar roles

Puedes ver y administrar estos roles en la vista Roles de IAM en la consola de Google Cloud .

En la consola de Google Cloud , ve a la página Roles en Identificación y acceso>.

Ir a Funciones

Para obtener una lista completa de los permisos de la API para cada función, consulta las funciones de Apigee.

Nota: Si creas un rol en la página IAM y administración > Roles, asegúrate de incluir el permiso apigee.projectorganizations.get en el rol.

Además de los roles de Apigee, también puedes aplicar roles de Google Cloud como escritor de registros y administrador de objetos de almacenamiento a tus usuarios.