Diese Seite gilt für Apigee und Apigee Hybrid.
Apigee Edge-Dokumentation aufrufen
Auf dieser Seite werden die Rollen und Berechtigungen der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) aufgeführt, die zum Verwenden und Verwalten von Apigee Spaces und Space-Ressourcen erforderlich sind.
Bei der Verwendung von Spaces ist es wichtig zu beachten, dass IAM-Rollen und -Berechtigungen hauptsächlich auf Space-Ebene gewährt werden und Apigee-Nutzern ermöglichen, nur die Teilmenge der API-Ressourcen aufzurufen und zu verwalten, die dem Space zugewiesen sind. Dies ist eine Verhaltensänderung im Vergleich zu Apigee-Kontexten, in denen Spaces nicht verwendet werden. Die Rollen und Berechtigungen, die Apigee-Nutzern für die Verwaltung von API-Ressourcen ermöglichen in der Regel den Zugriff auf alle Ressourcen dieses Typs.
Weitere Informationen zu den Standardrollen und -berechtigungen, die bei der Verwendung von Spaces erforderlich sind, finden Sie in den folgenden Abschnitten:
- Rollen und Berechtigungen zum Erstellen und Verwalten von Apigee Spaces
- Space-Ressourcen in der Google Cloud Console ansehen
- Rollen mit IAM in der Google Cloud Console ansehen und zuweisen
Rollen und Berechtigungen zum Erstellen und Verwalten von Apigee Spaces
IAM wurden neue Rollen und Berechtigungen hinzugefügt, um die Verwendung von Apigee Spaces in Apigee-Organisationen zu vereinfachen, wie in den folgenden Abschnitten beschrieben.
Vordefinierte Rollen für Apigee Spaces
| Rolle | Beschreibung | Umfang |
|---|---|---|
apigee.spaceContentEditor |
Gewährt vollständigen Zugriff auf Ressourcen, die mit einem Space verknüpft werden können. Diese Rolle sollte auf Space-Ebene gewährt werden. | Apigee Space |
apigee.spaceContentViewer |
Gewährt Lesezugriff auf Ressourcen, die mit einem Space verknüpft werden können. Diese Rolle sollte auf Space-Ebene gewährt werden. | Apigee Space |
apigee.spaceConsoleUser |
Gewährt die Mindestberechtigungen, die zum Verwalten von Ressourcen in einem Space mit der Google Cloud Console erforderlich sind. Wird auf Projektebene Nutzern mit Zugriff auf Ressourcen in diesem Space gewährt. Google Cloud | Google Cloud -Projekt |
Wenn Space-Mitglieder Ressourcen in diesem Space verwalten dürfen, verwenden Sie die setIamPolicy Methode
für eine Space-Ressource, um dem Mitglied die apigee.spaceContentEditor Rolle zu gewähren. Weitere Informationen finden Sie unter
Organisationselement zu einem Space hinzufügen.
Wenn Space-Mitglieder die Apigee-Benutzeroberfläche zum Verwalten von Space-Ressourcen verwenden dürfen,
gewähren Sie den Mitgliedern die Rolle apigee.spaceConsoleUser für das Google Cloud Projekt. Weitere Informationen finden Sie unter View
Space-Ressourcen in der Google Cloud Console ansehen.
Wenn Sie ein komplexeres Szenario haben oder wissen möchten, wie sich die Verwendung von Spaces auf die IAM-Berechtigungshierarchie auswirkt, lesen Sie den Hilfeartikel IAM-Berechtigungshierarchie in Apigee Spaces.
Erforderliche Berechtigungen zum Erstellen und Verwalten von Apigee Spaces
IAM wurden neue Berechtigungen hinzugefügt, um das Erstellen und Verwalten von Spaces zu ermöglichen,
wie in der folgenden Tabelle beschrieben. Apigee-Nutzer, denen die Rolle apigee.admin zugewiesen ist
, haben die erforderlichen Berechtigungen zum Erstellen und Verwalten eines Space in einer Apigee-Organisation.
| Vorgang | Berechtigung erforderlich |
|---|---|
| Space erstellen | apigee.spaces.create |
| Space aktualisieren | apigee.spaces.update |
| Space löschen | apigee.spaces.delete |
| Details zu einem Space abrufen | apigee.spaces.get |
| Alle Spaces in einer Apigee-Organisation auflisten | apigee.spaces.list |
| Die mit einem Space verknüpfte IAM-Richtlinie abrufen | apigee.spaces.getIamPolicy |
| Die mit einem Space verknüpfte IAM-Richtlinie festlegen | apigee.spaces.setIamPolicy |
Space-Ressourcen in der Google Cloud Console ansehen
Wenn Nutzer API-Ressourcen ansehen möchten, die mit Spaces über die Apigee-Benutzeroberfläche verknüpft sind,
benötigen sie eine benutzerdefinierte Rolle: apigee.spaceConsoleUser.
Weitere Informationen zum Ansehen und Verwalten von API-Ressourcen in Spaces über die Benutzeroberfläche finden Sie unter API-Ressourcen in Apigee Spaces verwalten.
Prüfen Sie, ob diese benutzerdefinierte Rolle
allen Nutzern gewährt wurde, die die Apigee-Benutzeroberfläche verwenden möchten, um Space-Ressourcen aufzurufen und zu verwalten. Wenn die Rolle apigee.spaceConsoleUser in IAM für Ihre Nutzer
noch nicht verfügbar ist, bitten Sie Ihren Organisationsadministrator, die
Rolle für das Projekt der Organisation Google Cloud hinzuzufügen.
Der Administrator kann die Rolle mit dem folgenden Befehl erstellen:
gcloud iam roles create apigee.spaceConsoleUser \ --project="PROJECT_ID" \ --title="Apigee Space Console User" \ --description="Apigee Space Console User"\ --permissions="apigee.entitlements.get,apigee.organizations.get,apigee.organizations.list,apigee.projectorganizations.get,resourcemanager.projects.get,apigee.spaces.list,apigee.spaces.get,apigee.deployments.list,apigee.environments.list,apigee.environments.get,apigee.envgroups.list,apigee.envgroupattachments.list,apigee.instances.list,apigee.apps.list" \ --stage=GA
Ersetzen Sie PROJECT_ID durch den Namen des Google Cloud Projekts, in dem die Apigee-Organisation erstellt wurde.
Rollen mit IAM in der Google Cloud Console ansehen und zuweisen
Sie können die Rollenzuweisungen und Berechtigungen, die Space-Mitgliedern und Organisationsadministratoren auf Google Cloud Projektebene gewährt wurden, mit IAM in der Google Cloud Console prüfen.
Auf Rollen prüfen
-
Rufen Sie in der Google Cloud Console die Seite IAM auf.
IAM aufrufen - Wählen Sie das Projekt aus.
-
Suchen Sie in der Spalte Hauptkonto nach allen Zeilen, in denen Sie oder eine Gruppe, zu der Sie gehören, angegeben sind. Fragen Sie Ihren Administrator, zu welchen Gruppen Sie gehören.
- Prüfen Sie in allen Zeilen, in denen Sie angegeben oder enthalten sind, die Spalte Rolle, um zu sehen, ob die Liste der Rollen die erforderlichen Rollen enthält.
So weisen Sie die Rollen zu:
-
Rufen Sie in der Google Cloud Console die Seite IAM auf.
IAM aufrufen - Wählen Sie das Projekt aus.
- Klicken Sie auf Zugriffsrechte erteilen.
-
Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.
- Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
- Wenn Sie weitere Rollen zuweisen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
- Klicken Sie auf Speichern.
Informationen zum Prüfen der auf Space-Ebene angewendeten IAM-Richtlinien finden Sie unter Mitglieder und Rollen in einem Space verwalten.