Prosedur untuk menginstal dan mengelola Apigee Hybrid memerlukan izin dan peran berikut. Setiap tugas dapat dilakukan oleh anggota organisasi Anda yang berbeda yang memiliki izin dan peran yang diperlukan.
Izin cluster
Setiap platform yang didukung memiliki persyaratan izinnya sendiri untuk membuat cluster. Sebagai pemilik cluster, Anda dapat melanjutkan untuk menginstal komponen khusus Apigee (termasuk cert-manager dan runtime Apigee) ke dalam cluster. Namun, jika Anda ingin mendelegasikan penginstalan komponen runtime ke cluster kepada pengguna lain, Anda dapat mengelola izin yang diperlukan melalui authn-authz Kubernetes.
Untuk menginstal komponen runtime hybrid ke dalam cluster, pengguna non-pemilik cluster harus memiliki izin CRUD pada resource berikut:
- ClusterRole
- ClusterRoleBinding
- Webhook (ValidatingWebhookConfiguration dan MutatingWebhookConfiguration)
- PriorityClass
- ClusterIssuer
- CustomerResourceDefinitions
- StorageClass (Opsional, jika StorageClass default tidak digunakan. Untuk mengetahui informasi tentang cara mengubah setelan default dan membuat kelas penyimpanan kustom, lihat Konfigurasi StorageClass.)
Peran IAM
Anda harus memiliki peran IAM berikut yang ditetapkan ke akun pengguna Anda untuk melakukan langkah-langkah ini. Jika akun Anda tidak memiliki peran ini, minta pengguna dengan peran tersebut melakukan langkah-langkahnya. Untuk mengetahui informasi selengkapnya tentang peran IAM, lihat Referensi peran dasar dan bawaan IAM.
Untuk membuat akun layanan dan memberikan akses ke project Anda:
- Buat Akun Layanan (
roles/iam.serviceAccountCreator) - Project IAM Admin (
roles/resourcemanager.projectIamAdmin)
Untuk memberikan akses sinkronisasi ke project Anda:
- Apigee Organization Admin (
roles/apigee.admin)
Untuk mengonfigurasi identitas workload untuk penginstalan di GKE (opsional):
- Kubernetes Engine Admin (
roles/container.admin) - Service Account Admin (
roles/iam.serviceAccountAdmin)