Cette page s'applique à Apigee et à Apigee hybrid.
Consultez
la documentation d' Apigee Edge.
Cette page répertorie les rôles et autorisations Identity and Access Management requis pour utiliser et gérer Apigee Spaces et les ressources d'espace.
Lorsque vous utilisez des espaces, il est important de noter que les rôles et autorisations IAM sont principalement accordés au niveau de l'espace et permettent aux utilisateurs d'Apigee d'afficher et de gérer uniquement le sous-ensemble de ressources d'API attribué à l'espace. Il s'agit d'un changement de comportement par rapport aux contextes Apigee dans lesquels les espaces ne sont pas utilisés. Les rôles et autorisations accordés aux utilisateurs d'Apigee pour la gestion des ressources d'API permettent généralement d'accéder à toutes les ressources de ce type.
Pour en savoir plus sur les rôles et autorisations par défaut requis lorsque vous utilisez des espaces, consultez les sections suivantes :
- Rôles et autorisations permettant de créer et de gérer des espaces Apigee
- Afficher les ressources d'espace dans la Google Cloud console
- Afficher et attribuer des rôles à l'aide d'IAM dans la Google Cloud console
Rôles et autorisations permettant de créer et de gérer des espaces Apigee
De nouveaux rôles et autorisations ont été ajoutés à IAM pour faciliter l'utilisation d'Apigee Spaces dans les organisations Apigee plus facile pour les cas d'utilisation courants, comme indiqué dans les sections suivantes.
Rôles prédéfinis pour Apigee Spaces
| Rôle | Description | Champ d'application |
|---|---|---|
apigee.spaceContentEditor |
Fournit un accès complet aux ressources pouvant être associées à un espace. Ce rôle doit être accordé au niveau de l'espace. | Espace Apigee |
apigee.spaceContentViewer |
Fournit un accès en lecture aux ressources pouvant être associées à un espace. Ce rôle doit être accordé au niveau de l'espace. | Espace Apigee |
apigee.spaceConsoleUser |
Fournit les autorisations minimales requises pour gérer les ressources d'un espace à l'aide de la Google Cloud console. Accordé au niveau du Google Cloud projet aux utilisateurs ayant accès aux ressources de cet espace. | Google Cloud Projet |
Pour autoriser les membres d'un espace à gérer les ressources de cet espace, utilisez la méthode setIamPolicy
sur une ressource d'espace afin d'accorder le rôle apigee.spaceContentEditor au membre. Pour en savoir plus,
consultez
Ajouter un membre d'organisation à un espace.
Pour autoriser les membres d'un espace à utiliser l'interface utilisateur Apigee afin de gérer les ressources d'espace,
accordez-leur le rôle apigee.spaceConsoleUser sur le Google Cloud projet. Pour en savoir plus, consultez Afficher
les ressources d'espace dans la Google Cloud console.
Si votre scénario est plus complexe ou si vous souhaitez comprendre comment l'utilisation des espaces modifie la hiérarchie des autorisations IAM, consultez Hiérarchie des autorisations IAM dans Apigee Spaces.
Autorisations requises pour créer et gérer des espaces Apigee
De nouvelles autorisations ont été ajoutées à IAM pour permettre la création et la gestion d'espaces,
comme décrit dans le tableau suivant. Les utilisateurs d'Apigee auxquels le rôle apigee.admin
est attribué disposeront des autorisations requises pour créer et gérer un espace dans une organisation Apigee.
| Opération | Autorisation requise |
|---|---|
| Créer un espace | apigee.spaces.create |
| Mettre à jour un espace | apigee.spaces.update |
| Supprimer un espace | apigee.spaces.delete |
| Obtenir les détails d'un espace | apigee.spaces.get |
| Répertorier tous les espaces d'une organisation Apigee | apigee.spaces.list |
| Obtenir la stratégie IAM associée à un espace | apigee.spaces.getIamPolicy |
| Définir la stratégie IAM associée à un espace | apigee.spaces.setIamPolicy |
Afficher les ressources d'espace dans la Google Cloud console
Pour afficher les ressources d'API associées aux espaces à l'aide de l'interface utilisateur Apigee,
les utilisateurs doivent disposer d'un rôle personnalisé : apigee.spaceConsoleUser.
Pour en savoir plus sur l'utilisation de l'interface utilisateur afin d'afficher et de gérer les ressources d'API dans Spaces, consultez Gérer les ressources d'API dans Apigee Spaces.
Vérifiez que ce rôle personnalisé est accordé à
tout utilisateur souhaitant utiliser l'interface utilisateur Apigee pour afficher et gérer les ressources de l'espace. Si le rôle apigee.spaceConsoleUser n'est
pas déjà disponible dans IAM pour vos utilisateurs, demandez à l'administrateur de votre organisation d'ajouter ce
rôle au projet Google Cloud de l'organisation.
L'administrateur peut créer le rôle à l'aide de la commande suivante :
gcloud iam roles create apigee.spaceConsoleUser \ --project="PROJECT_ID" \ --title="Apigee Space Console User" \ --description="Apigee Space Console User"\ --permissions="apigee.entitlements.get,apigee.organizations.get,apigee.organizations.list,apigee.projectorganizations.get,resourcemanager.projects.get,apigee.spaces.list,apigee.spaces.get,apigee.deployments.list,apigee.environments.list,apigee.environments.get,apigee.envgroups.list,apigee.envgroupattachments.list,apigee.instances.list,apigee.apps.list" \ --stage=GA
Remplacez PROJECT_ID par le nom du Google Cloud projet dans lequel l'organisation Apigee a été créée.
Afficher et attribuer des rôles à l'aide d'IAM dans la Google Cloud console
Vous pouvez confirmer les attributions de rôles et les autorisations accordées aux membres de l'espace et aux administrateurs de l'organisation au niveau du Google Cloud projet à l'aide d'IAM dans la Google Cloud console.
Pour vérifier les rôles
-
Dans la Google Cloud console, accédez à la page IAM.
Accéder à IAM - Sélectionnez le projet.
-
Dans la colonne Compte principal, recherchez toutes les lignes qui vous identifient ou identifient un groupe auquel vous appartenez. Pour savoir à quels groupes vous appartenez, contactez votre administrateur.
- Pour toutes les lignes qui vous spécifient ou vous incluent, consultez la colonne Rôle pour vous assurer que la liste inclut les rôles requis.
Pour accorder les rôles, procédez comme suit :
-
Dans la Google Cloud console, accédez à la page IAM.
Accéder à IAM - Sélectionnez le projet.
- Cliquez sur Accorder l'accès.
-
Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.
- Dans la liste Sélectionner un rôle, sélectionnez un rôle.
- Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez tous les rôles supplémentaires requis.
- Cliquez sur Enregistrer.
Pour vérifier les stratégies IAM appliquées au niveau de l'espace, consultez Gérer les membres et les rôles dans un espace.