本頁面適用於 Apigee,但不適用於 Apigee Hybrid。
查看
Apigee Edge 說明文件。
本文說明成功佈建 Apigee 所需的 Google Cloud IAM 權限。
您可以使用下列方式指定權限:
Google Cloud 專案擁有者角色
用於 Apigee 佈建的 Google Cloud 專案擁有者,已具備執行所有基本 Apigee 佈建步驟的權限。
如果 Apigee 佈建工具不是專案擁有者,請參閱本文件,瞭解執行各個佈建步驟所需的權限。
如果您使用共用虛擬私有雲 (VPC) 網路,就必須在共用 VPC 專案中設定其他權限,本文件也將說明這些情況。
預先定義的角色
如果您只想確保 Apigee 管理員具備完成佈建所需的權限,請將下列 IAM 預先定義角色授予 Apigee 管理員;不過,預先定義角色可能會授予 Apigee 管理員比完成佈建所需更多的權限。請參閱 自訂角色和權限,提供必要的最低權限。
如何指定預先定義的角色
如要新增使用者和角色,請按照下列步驟操作:
在 Google Cloud 控制台中,前往專案的「IAM & Admin」(IAM 與管理) >「IAM」。
- 如何新增使用者:
- 按一下「授予存取權」。
- 輸入新的主要名稱。
- 按一下「Select a role」選單,然後在「Filter」欄位中輸入角色名稱。例如:
Apigee Organization Admin。按一下結果中列出的角色。 - 按一下 [儲存]。
- 如要編輯現有使用者:
- 按一下「Edit」(編輯)。
- 如要變更現有角色,請按一下「角色」選單,然後選取其他角色。
- 如要新增其他角色,請按一下「新增其他角色」。
- 按一下「Select a role」選單,然後在「Filter」欄位中輸入角色名稱。例如:
Apigee Organization Admin。按一下結果中列出的角色。 - 按一下 [儲存]。
| 角色 | 步驟必填 | 帳戶類型 | 目的 |
|---|---|---|---|
Apigee 機構管理員apigee.admin |
|
付費和評估 | 具備所有 Apigee 資源功能的完整存取權。 |
服務使用情形管理員serviceusage.serviceUsageAdmin |
|
付費和評估 | 可啟用、停用及檢查服務狀態、檢查作業,以及使用消費者專案的配額和帳單。 |
Cloud KMS 管理員cloudkms.admin |
|
僅限付費 | 建立 Cloud KMS 金鑰和金鑰環。 |
Compute 管理員compute.admin |
|
付費和評估 | 列出 Compute 區域、設定服務網路,以及建立外部 HTTPS 負載平衡器。 |
自訂角色和權限
如要提供必要的最少特權,請建立 IAM 自訂角色,並指派下列部分的權限。
如何指定自訂角色
如何新增自訂角色:
在 Google Cloud 控制台中,前往專案的「IAM 與管理」>「角色」。
- 如要新增角色,請按照下列步驟操作:
- 按一下「建立角色」。
- 輸入新的標題。
- 輸入說明 (選填)。
- 輸入 ID。
- 選取角色推出階段。
- 按一下「新增權限」。
- 從下表複製所需的權限文字,然後貼到「Filter」欄位。例如:
apigee.environments.create。 - 按下 Enter 鍵或點選結果中的項目。
- 勾選剛新增的項目。
- 按一下「新增」。
- 新增完這個角色的所有權限後,請按一下「建立」。
- 如要編輯現有的自訂角色,請按照下列步驟操作:
- 找出自訂角色。
- 依序按一下 「更多」>「編輯」。
- 視需要進行變更。
- 按一下「更新」。
以 UI 為基礎的 Apigee 管理權限
凡是透過 Cloud 控制台中的 Apigee UI 管理機構的使用者,都必須具備這項權限。將其納入透過該介面管理的自訂角色。
| 角色 | 帳戶類型 | 目的 |
|---|---|---|
apigee.projectorganizations.get |
付費和評估 |
|
佈建權限
您必須具備下列權限,才能開始佈建 Apigee:
| 角色 | 帳戶類型 | 目的 |
|---|---|---|
apigee.entitlements.getapigee.environments.createapigee.environments.getapigee.environments.listapigee.envgroups.createapigee.envgroups.getapigee.envgroups.listapigee.envgroups.updateapigee.envgroupattachments.createapigee.envgroupattachments.listapigee.instances.createapigee.instances.getapigee.instances.listapigee.instanceattachments.createapigee.instanceattachments.getapigee.instanceattachments.listapigee.operations.getapigee.operations.listapigee.organizations.createapigee.organizations.getapigee.organizations.updateapigee.projectorganizations.getapigee.projects.updateapigee.setupcontexts.getapigee.setupcontexts.update
|
付費和評估 |
|
API 啟用權限
您必須具備下列權限,才能啟用 Google Cloud API:
| 角色 | 帳戶類型 | 目的 |
|---|---|---|
serviceusage.services.getserviceusage.services.enable |
付費和評估 | 啟用 Google Cloud API |
建立機構的權限 (付費機構)
您必須具備下列權限,才能為付費帳戶 (訂閱或隨用隨付) 建立 Apigee 機構:
| 權限 | 帳戶類型 | 目的 |
|---|---|---|
compute.regions.list |
僅限付費 | 選取 Analytics 代管位置 |
cloudkms.cryptoKeys.listcloudkms.locations.listcloudkms.keyRings.list
|
僅限付費 | 選取執行階段資料庫加密金鑰 |
cloudkms.cryptoKeys.createcloudkms.keyRings.create |
僅限付費 | 建立執行階段資料庫加密金鑰 |
cloudkms.cryptoKeys.getIamPolicycloudkms.cryptoKeys.setIamPolicy |
僅限付費 | 授予 Apigee 服務帳戶使用加密金鑰的權限 |
機構建立權限 (評估機構)
如要為評估機構選取 Analytics 和執行階段代管區域,就必須具備此權限:
| 權限 | 帳戶類型 | 目的 |
|---|---|---|
compute.regions.list |
僅限評估機構 | 選取數據分析和執行階段託管區域 |
服務網路權限
這些權限是服務網路設定步驟所需的權限。如果您使用共用虛擬私有雲網路,請參閱「 共用虛擬私有雲的服務網路權限」。
| 權限 | 帳戶類型 | 目的 |
|---|---|---|
compute.globalAddresses.createInternalcompute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.networks.get
compute.networks.list
compute.networks.use
compute.projects.get
servicenetworking.operations.get
servicenetworking.services.addPeering
servicenetworking.services.get
|
付費和評估 | 您必須具備這些權限,才能在服務網路設定步驟中執行工作。 |
使用共用虛擬私有雲的服務網路權限
如果您使用共用虛擬私有雲 (VPC) 網路,共用 VPC 專案中的管理權限使用者必須與 Apigee 建立對等互連,如「 使用共用 VPC 網路」一文所述。必須先完成配對作業,Apigee 管理員才能完成服務網路設定步驟。另請參閱「管理員和身分與存取權管理」。
共用虛擬私有雲 (VPC) 設定完成後,Apigee 管理員必須具備下列權限,才能完成服務網路設定步驟:
| 權限 | 帳戶類型 | 目的 |
|---|---|---|
compute.projects.get
|
付費和評估 | Apigee 管理員必須在安裝 Apigee 的專案中具備這項權限。 這個權限可讓管理員查看共用虛擬私有雲主專案 ID。 |
| Compute 網路使用者角色 ( compute.networkUser) |
付費和評估 | Apigee 管理員必須在共用虛擬私有雲主專案中獲授予這個角色。這個角色可讓管理員在 Apigee 佈建使用者介面中查看及選取共用 VPC 網路。 |
執行階段執行個體權限
您必須具備下列權限,才能建立執行階段例項 (僅限訂閱和預付帳戶):
| 權限 | 帳戶類型 | 目的 |
|---|---|---|
compute.regions.list |
僅限付費 | 選取執行階段代管位置 |
cloudkms.cryptoKeys.listcloudkms.locations.listcloudkms.keyRings.list
|
僅限付費 | 選取執行階段磁碟加密金鑰 |
cloudkms.cryptoKeys.createcloudkms.keyRings.create |
僅限付費 | 建立執行階段磁碟加密金鑰 |
cloudkms.cryptoKeys.getIamPolicycloudkms.cryptoKeys.setIamPolicy |
僅限付費 | 授予 Apigee 服務帳戶使用加密金鑰的權限 |
存取路由權限
存取路由步驟需要下列權限:
| 權限 | 帳戶類型 | 目的 |
|---|---|---|
compute.autoscalers.createcompute.backendServices.createcompute.backendServices.usecompute.disks.createcompute.globalAddresses.createcompute.globalAddresses.getcompute.globalAddresses.listcompute.globalAddresses.usecompute.globalForwardingRules.createcompute.globalOperations.getcompute.firewalls.createcompute.firewalls.getcompute.healthChecks.createcompute.healthChecks.useReadOnlycompute.images.getcompute.images.useReadOnlycompute.instances.createcompute.instances.setMetadatacompute.instanceGroups.usecompute.instanceGroupManagers.createcompute.instanceGroupManagers.usecompute.instanceTemplates.getcompute.instanceTemplates.createcompute.instanceTemplates.useReadOnlycompute.networks.getcompute.networks.listcompute.networks.updatePolicycompute.networks.usecompute.regionOperations.getcompute.regionNetworkEndpointGroups.createcompute.regionNetworkEndpointGroups.deletecompute.regionNetworkEndpointGroups.usecompute.sslCertificates.createcompute.sslCertificates.getcompute.subnetworks.getcompute.subnetworks.listcompute.subnetworks.setPrivateIpGoogleAccesscompute.subnetworks.usecompute.targetHttpsProxies.createcompute.targetHttpsProxies.usecompute.urlMaps.createcompute.urlMaps.use
|
付費和評估 | 設定基本存取權轉送 |
透過共用虛擬私有雲存取路由權限
如果您使用的是 共用虛擬私有雲 (VPC) 網路,請注意,您必須先完成共用 VPC 設定和對等互連,才能執行存取路由步驟。
共用虛擬私有雲 (VPC) 設定完成後,Apigee 管理員必須具備共用 VPC 專案中的
compute.networkUser 角色,才能完成存取路由步驟。如要瞭解共用 VPC 的
必要管理員角色,請參閱相關文章。