משתמשים ותפקידים

הדף הזה רלוונטי ל-Apigee ול-Apigee Hybrid.

לעיון במסמכי התיעוד של Apigee Edge

משתמש מייצג חשבון מאומת שיכול לגשת לארגון ולרכיבים שבו, כמו סביבות, שרתי proxy של API ומאגרי מפתחות.

כדי להוסיף משתמש חדש לארגון Apigee, צריך לתת גישה לחשבון המשתמש, קודם ב פרויקט בענן ואז בממשק המשתמש של Apigee. (במסמך הזה אנחנו משתמשים לסירוגין במונחים משתמש וחשבון משתמש).

כשמוסיפים משתמש חדש, בדרך כלל:

  1. במסוף, מקצים למשתמש החדש תפקיד אחד או יותר בפרויקט Cloud. ההרשאה הזו מעניקה למשתמש גישה רחבה לכל הסביבות בארגון.

    מידע נוסף זמין במאמר בנושא ניהול גישה במסוף.

  2. בממשק המשתמש של Apigee, מקצים תפקידי משתמש נוספים בסביבה אחת או יותר בארגון Apigee. הערה: תפקידי משתמשים בהיקף סביבה לא מבטלים תפקידים שמוקצים ברמת Google Cloud, אלא מצטברים אליהם.

    מידע נוסף זמין במאמר בנושא ניהול משתמשים בממשק המשתמש של Apigee.

מידע על תפקידים

היכולות שאתם מעניקים לחשבון המשתמש תלויות בסוג התפקיד שאתם מקצים לו. תפקיד הוא אוסף של הרשאות. אי אפשר להעניק הרשאה ישירות למשתמש. במקום זאת, מקצים להם תפקיד. לדוגמה, אפשר להקצות למפתח את התפקיד API Admin כדי שהוא יוכל ליצור שרתי proxy ל-API,‏ KVM ורכיבי זרימה משותפים. למשתמש שיפרוס שרתי proxy, אפשר להקצות את התפקיד Environment Admin, שמעניק לו את היכולת לפרוס ולבטל פריסה של גרסאות של proxy ל-API. פרטים על כל התפקידים ב-Apigee מופיעים במאמר תפקידים ב-Apigee.

בנוסף, המשאבים שהמשתמש יכול לגשת אליהם על סמך התפקיד שלו תלויים במקום שבו הקציתם את התפקיד:

  • פרויקט Google Cloud – אם מקצים תפקיד במסוף (בפרויקט Google Cloud), המשתמש יכול לגשת לכל משאבי Apigee – לכל הסביבות ולכל המשאבים בסביבות האלה – בתפקיד הזה. הסיבה לכך היא שפרויקט Cloud הוא הורה של ממשק המשתמש של Apigee בהיררכיית המשאבים. ההרשאות שמוגדרות בהורה (פרויקט Cloud) עוברות בירושה לכל הצאצאים (סביבות). אפשר לציין תפקידי משתמשים לכל סביבה בממשק המשתמש של Apigee כדי לשנות את הגישה.

    בקרת הגישה ב-Google Cloud Platform מנוהלת על ידי ניהול זהויות והרשאות גישה (IAM). באמצעות IAM תוכלו להגדיר הרשאות שיקבעו למי תהיה גישה לאילו משאבים בפרויקט ואיזה סוג של גישה תהיה לו. מידע נוסף זמין במאמר מושגים שקשורים לזהות.

    משתמשים הם סוג של חשבון, מונח רחב שמתייחס לזהות שאפשר להעניק לה גישה למשאבים. סוגים אחרים של חשבונות משתמשים בענן כוללים חשבונות שירות, קבוצות Google ודומיינים של G Suite. מידע נוסף זמין בסקירה הכללית הזו על Cloud Identity ועל ניהול הרשאות גישה.

  • גישה לסביבה – מתן תפקיד משתמש לסביבה ספציפית לא מבטל תפקידים שהוגדרו ברמת הפרויקט ב-Google Cloud. ברמת הסביבה, התפקידים שמוענקים למשתמש מיוצגים כאיחוד עם כל התפקידים ב-Cloud שהוקצו למשתמש.

לדוגמה, אם תגדירו משתמש כAPI Admin בפרויקט בענן, תהיה לו גישה – כAPI Admin – לכל הסביבות בארגון.

המלצות לתפקידים

‫Apigee ממליצה לבצע את הפעולות הבאות לכל חשבון משתמש חדש שמוסיפים. (כשמוסיפים משתמשי סופר או אדמינים, אין צורך לעשות זאת):

  1. ב-Console, מוסיפים את חשבון המשתמש החדש ובוחרים תפקיד עם קבוצת הרשאות מינימלית. לדוגמה, מגדירים את התפקיד של משתמש חדש לAPI Admin. ניהול הגישה ב-Google Cloud
  2. בתצוגה Environment Access (גישה לסביבה) בממשק המשתמש של Apigee, מוסיפים את המשתמש ומגדירים תפקידי משתמש נוספים לכל סביבה בארגון, כמו שמתואר במאמר ניהול משתמשים. הערה: תפקידים בהיקף סביבה שמוגדרים בממשק המשתמש של Apigee לא מבטלים תפקידים שמוגדרים ברמת Google Cloud, אלא מצטברים אליהם.