Rôles Apigee

Cette page s'applique à Apigee et à Apigee hybrid.

Consultez la documentation d'Apigee Edge.

Cette section décrit les rôles spécifiques à Apigee que vous attribuez généralement à vos utilisateurs. Il ne s'agit pas des mêmes rôles que vous attribuez à des comptes de service.

Rôles spécifiques à Apigee

Apigee fournit un ensemble de rôles prédéfinis (ou sélectionnés) qui sont Google Cloud des rôles IAM pour Apigee. Entre autres autorisations, ces rôles prédéfinis permettent aux utilisateurs de :

obtenir et lister les organisations Apigee ;
obtenir et lister les environnements Apigee ;
obtenir et lister les Google Cloud projets.

Rôles au niveau du projet et rôles au niveau de l'environnement

Dans Apigee, vous pouvez accorder des rôles à différents niveaux de la hiérarchie des ressources pour contrôler le champ d'application de l'accès d'un utilisateur :

Au niveau du projet : l'attribution d'un rôle au Google Cloud niveau du projet accorde à cet utilisateur des autorisations dans toutes les organisations et tous les environnements Apigee de ce projet.
Au niveau de l'environnement : l'attribution d'un rôle au niveau de l'environnement limite les autorisations de l'utilisateur à un environnement spécifique (par exemple, "Prod", mais pas "Dev"). Pour ce faire, utilisez la méthode SetIamPolicy sur la ressource d'environnement.

Par exemple, vous pouvez accorder à un utilisateur le rôle Lecteur d'API pour un environnement spécifique afin qu'il soit un administrateur en lecture seule pour cet environnement uniquement.

Rôles Apigee principaux

Le tableau suivant récapitule les principaux rôles Apigee.

Nom du rôle	Description
`Analytics Editor`	Crée et analyse les rapports sur le trafic de proxy d'API pour une organisation Apigee. Ce rôle peut modifier les requêtes et les rapports.
`API Admin` (V2)	Développeur qui crée et teste les proxys d'API. Ce rôle accorde un accès complet en lecture/écriture aux produits d'API et aux applications, ainsi qu'aux proxys d'API, aux flux partagés et aux KVM. Ce rôle remplace le rôle `API Creator`, désormais obsolète.
API Reader (V2)	Fournit un accès en lecture seule à la plupart des fonctionnalités Apigee, y compris les produits d'API, les groupes d'environnements, les environnements, les KVM, les proxys, les flux partagés, etc. Remarque : Bien que le lecteur d'API inclut des autorisations telles que `apigee.proxyrevisions.deploy` et `apigee.sharedflowrevisions.deploy`, il est en lecture seule et n'inclut que les aspects spécifiques à ces fonctions.
`Analytics Viewer`	Consulte les données analytiques pour une organisation. Ce rôle peut obtenir des statistiques sur l'environnement.
`Environment Admin`	Ce rôle accorde un accès complet en lecture/écriture aux ressources de l'environnement Apigee, y compris les hooks de flux, les keystores, les KVM, les flux partagés et les serveurs cibles. Pour obtenir la liste complète des autorisations associées à ce rôle, consultez la section Rôles Apigee dans la documentation Cloud IAM. Remarque : Le déploiement d'un proxy d'API nécessite deux autorisations : `apigee.deployments.create` : cette autorisation est accordée par le rôle "Administrateur de l'environnement" au niveau de l'environnement. `apigee.proxyrevisions.deploy` : cette autorisation est incluse dans le rôle "Lecteur d'API". Étant donné que le lecteur d'API est un rôle au niveau de l'organisation, vous devez l'accorder dans la Google Cloud console au niveau du projet.
`Developer Admin`	Gère l'accès des développeurs aux applications. Il permet de lire les produits d'API et de modifier les clés des applications, les applications de développeurs et les développeurs. Ce rôle gère également les groupes d'applications.
`Org Admin`	Super-utilisateur disposant d'un accès complet à toutes les ressources Apigee de l'organisation Apigee. Ce rôle peut accéder à toutes les actions disponibles pour tous les proxys d'API. Il s'agit du seul rôle permettant de créer, supprimer, ou mettre à jour des organisations.
`Read Only Admin`	Administrateur capable d'exécuter des rapports et de consulter toutes les ressources de l'organisation Apigee sans avoir la possibilité de créer ni de modifier quoi que ce soit. Ce rôle dispose d'un accès en lecture à toutes les ressources Apigee au sein de l'organisation Apigee. Le compte de service de votre Google Cloud projet se voit attribuer ce rôle lors de la configuration et de l'installation.

Afficher et gérer les rôles

Vous pouvez afficher et gérer ces rôles dans la vue Rôles IAM de la Google Cloud console.

Dans la Google Cloud console, accédez à la page Identité et accès > Rôles.

Accéder à la page "Rôles"

Pour obtenir la liste complète des autorisations d'API pour chaque rôle, consultez la page Rôles Apigee.

Remarque : Si vous créez un rôle sur la page IAM et administration > Rôles, veillez à inclure l'autorisation apigee.projectorganizations.get dans le rôle.

En plus des rôles Apigee, vous appliquez également à vos utilisateurs des rôles tels que Google Cloud "Rédacteur de journaux" et "Administrateur des objets Storage".