הדף הזה רלוונטי ל-Apigee ול-Apigee Hybrid.
לעיון במסמכי התיעוד של
Apigee Edge
משתמש מייצג חשבון מאומת שיכול לגשת לארגון ולרכיבים שבו, כמו סביבות, שרתי proxy של API ומאגרי מפתחות.
כדי להוסיף משתמש חדש לארגון Apigee, צריך לתת גישה לחשבון המשתמש, קודם בפרויקט בענן ואז בממשק המשתמש של Apigee. (במסמך הזה נעשה שימוש במונחים משתמש וחשבון משתמש לסירוגין).
כשמוסיפים משתמש חדש, בדרך כלל:
- במסוף, מקצים למשתמש החדש תפקיד אחד או יותר בפרויקט Cloud. כך המשתמש מקבל גישה רחבה לכל הסביבות בארגון.
מידע נוסף זמין במאמר בנושא ניהול גישה ב-Console.
- בממשק המשתמש של Apigee, מקצים תפקידי משתמש נוספים בסביבה אחת או יותר בארגון Apigee. הערה: תפקידי משתמשים בהיקף סביבה לא מבטלים תפקידים שניתנו ברמת Google Cloud, אלא מצטברים אליהם.
מידע נוסף זמין במאמר בנושא ניהול משתמשים בממשק המשתמש של Apigee.
מידע על תפקידים
היכולות שאתם מעניקים לחשבון המשתמש תלויות בסוג התפקיד שאתם מקצים לו. תפקיד הוא אוסף של הרשאות.
אי אפשר להעניק הרשאה ישירות למשתמש. במקום זאת, מקצים להם תפקיד. לדוגמה, אפשר להקצות למפתח את התפקיד API Admin כדי שהוא יוכל ליצור שרתי proxy ל-API, KVM ורכיבי זרימת נתונים משותפים. למשתמש שיפרוס שרתי proxy, אפשר להקצות את התפקיד Environment Admin, שמאפשר לו לפרוס ולבטל פריסה של גרסאות של proxy ל-API. פרטים על כל התפקידים ב-Apigee מופיעים במאמר תפקידים ב-Apigee.
בנוסף, המשאבים שהמשתמש יכול לגשת אליהם על סמך התפקיד שלו תלויים במקום שבו הקציתם את התפקיד:
- פרויקט Google Cloud – אם מקצים תפקיד במסוף (בפרויקט Google Cloud), המשתמש יכול לגשת לכל המשאבים של Apigee – לכל הסביבות ולכל המשאבים בסביבות האלה – בתפקיד הזה. הסיבה לכך היא שפרויקט Cloud הוא הורה של ממשק המשתמש של Apigee בהיררכיית המשאבים. ההרשאות שמוגדרות בהורה (פרויקט Cloud) עוברות בירושה לכל הצאצאים (סביבות). אפשר לצמצם את הגישה הזו על ידי הגדרת תפקידי משתמש לכל סביבה בממשק המשתמש של Apigee.
ב-Google Cloud Platform, בקרת הגישה מתבצעת באמצעות ניהול זהויות והרשאות גישה (IAM). באמצעות IAM אפשר להגדיר הרשאות שקובעות למי תהיה גישה לאילו משאבים בפרויקט. למידע נוסף, אפשר לעיין במאמר בנושא מושגים שקשורים לזהות.
משתמשים הם סוג של חשבון, מונח רחב שמתייחס לזהות שאפשר להעניק לה גישה למשאבים. סוגים אחרים של חשבונות משתמשים בענן כוללים חשבונות שירות, קבוצות Google ודומיינים של G Suite. מידע נוסף זמין בסקירה הכללית הזו על Cloud Identity ועל ניהול הרשאות גישה.
- גישה לסביבה – מתן תפקיד משתמש לסביבה ספציפית לא מבטל תפקידים שהוגדרו ברמת הפרויקט ב-Google Cloud. ברמת הסביבה, התפקידים שמוענקים למשתמש מיוצגים כאיחוד עם כל התפקידים ב-Cloud שהוקצו למשתמש.
לדוגמה, אם תגדירו משתמש כAPI Admin בפרויקט בענן, תהיה לו גישה – כAPI Admin – לכל הסביבות בארגון.
המלצות לתפקידים
Apigee ממליצה לבצע את הפעולות הבאות לכל חשבון משתמש חדש שמוסיפים. (כשמוסיפים משתמשי סופר או אדמינים, אין צורך לעשות זאת):
- במסוף, מוסיפים את חשבון המשתמש החדש ובוחרים תפקיד עם קבוצת הרשאות מינימלית. לדוגמה, אפשר להגדיר את התפקיד של משתמש חדש כ
API Admin. מידע נוסף זמין במאמר ניהול גישה ב-Google Cloud. - בתצוגה Environment Access (גישה לסביבה) בממשק המשתמש של Apigee, מוסיפים את המשתמש ומגדירים תפקידים נוספים של משתמשים לכל סביבה בארגון, כמו שמתואר במאמר ניהול משתמשים. חשוב לדעת שתפקידים בהיקף סביבה שמוגדרים בממשק המשתמש של Apigee לא מבטלים תפקידים שמוגדרים ברמת Google Cloud, אלא מצטברים אליהם.