安裝 Apigee Hybrid 的權限和角色

安裝及管理 Apigee Hybrid 的程序需要下列權限和角色。 機構中具備必要權限和角色的不同成員，都可以執行個別工作。

叢集權限

建立叢集時，每個支援的平台都有自己的權限規定。叢集擁有者可以繼續在叢集中安裝 Apigee 專屬元件 (包括 cert-manager 和 Apigee 執行階段)。不過，如要將執行階段元件安裝至叢集的作業委派給其他使用者，可以透過 Kubernetes authn-authz 管理必要權限。

如要將混合式執行階段元件安裝到叢集中，非叢集擁有者的使用者應具備下列資源的 CRUD 權限：

• ClusterRole
• ClusterRoleBinding
• Webhook (ValidatingWebhookConfiguration 和 MutatingWebhookConfiguration)
• PriorityClass
• ClusterIssuer
• CustomerResourceDefinitions
• StorageClass (選用，如果未使用預設 StorageClass，如要瞭解如何變更預設值及建立自訂儲存空間級別，請參閱「StorageClass 設定」。)

IAM 角色

如要執行這些步驟，您必須為使用者帳戶指派下列 IAM 角色。如果您的帳戶沒有這些角色，請具備這些角色的使用者執行相關步驟。如要進一步瞭解 IAM 角色，請參閱 IAM 基本和預先定義的角色參考資料。

如要建立服務帳戶並授予專案存取權，請按照下列步驟操作：

• 建立服務帳戶 (roles/iam.serviceAccountCreator)
• 專案 IAM 管理員 (roles/resourcemanager.projectIamAdmin)

如要授予專案同步器存取權，請按照下列步驟操作：

• Apigee 機構管理員 (roles/apigee.admin)

如要為 GKE 安裝項目設定 Workload Identity (選用)：

• Kubernetes Engine 管理員 (roles/container.admin)
• 服務帳戶管理員 (roles/iam.serviceAccountAdmin)