Usuarios y roles

Esta página se aplica a Apigee y Apigee Hybrid.

Consulta la documentación de Apigee Edge.

Un usuario representa una cuenta autenticada que puede acceder a una organización y a las entidades de esa organización, como los entornos, los proxies de API y los almacenes de claves.

Para añadir un nuevo usuario a tu organización de Apigee, primero debes conceder acceso a su cuenta en el proyecto de Cloud y, después, en la interfaz de usuario de Apigee. En este documento se utilizan indistintamente los términos usuario y cuenta de usuario.

Cuando añades un usuario nuevo, normalmente haces lo siguiente:

  1. En la consola, asigna al nuevo usuario uno o varios roles en tu proyecto de Cloud. De esta forma, el usuario tendrá acceso a todos los entornos de la organización.

    Para obtener más información, consulta el artículo sobre gestionar el acceso en la consola.

  2. En la interfaz de usuario de Apigee, asigna roles de usuario adicionales en uno o varios entornos de tu organización de Apigee. Ten en cuenta que los roles de usuario definidos en un entorno no sustituyen a los roles concedidos a nivel de Google Cloud, sino que se suman a ellos.

    Para obtener más información, consulta el artículo Gestionar usuarios en la interfaz de Apigee.

Información sobre los roles

Las funciones que concedas a la cuenta de usuario dependen del tipo de rol que le asignes. Un rol es un conjunto de permisos. No puedes conceder el permiso al usuario directamente. En su lugar, les asignas un rol. Por ejemplo, puedes asignar a un desarrollador el rol de API Admin para que pueda crear proxies de API, KVM y flujos compartidos. Si quieres que un usuario pueda implementar proxies, puedes asignarle el rol Environment Admin, que le permite implementar y retirar revisiones de proxies de API. Para obtener información sobre todos los roles de Apigee, consulta Roles de Apigee.

Además, los recursos a los que puede acceder un usuario en función de su rol dependen de dónde le hayas asignado el rol:

  • Proyecto de Google Cloud: si asignas un rol en la consola (en el proyecto de Google Cloud), el usuario podrá acceder a todos los recursos de Apigee (todos los entornos y recursos de esos entornos) con ese rol. Esto se debe a que el proyecto de Cloud es el elemento superior de la interfaz de usuario de Apigee en la jerarquía de recursos. Los permisos definidos en el elemento superior (el proyecto de Cloud) se heredan en todos los elementos secundarios (los entornos). Puedes acotar este acceso especificando roles de usuario por entorno en la interfaz de usuario de Apigee.

    El control de acceso en Google Cloud Platform se gestiona mediante Gestión de Identidades y Accesos (IAM). IAM te permite definir permisos que especifican quién tiene qué tipo de acceso a qué recursos de tu proyecto. Para obtener más información, consulta los conceptos relacionados con la identidad.

    Los usuarios son un tipo de entidad principal, un término general que hace referencia a una identidad a la que se le puede conceder acceso a los recursos. Otros tipos de principales de Cloud son las cuentas de servicio, los grupos de Google y los dominios de G Suite. Para obtener más información, consulta esta descripción general de Gestión de Identidades y Accesos de Cloud.

  • Acceso al entorno: si se asigna un rol de usuario a un entorno específico, no se sustituyen los roles definidos a nivel de proyecto de Google Cloud. En el nivel de entorno, los roles concedidos a un usuario se representan como una unión con los roles de Cloud asignados al usuario.

Por ejemplo, si defines a un usuario como API Admin en el proyecto de Cloud, ese usuario tendrá acceso (como API Admin) a todos los entornos de tu organización.

Recomendaciones de roles

Apigee recomienda que hagas lo siguiente con cada cuenta de usuario nueva que añadas. No es necesario si añades superusuarios o administradores.

  1. En la consola, añade la nueva cuenta de usuario y selecciona un rol que tenga un conjunto mínimo de permisos. Por ejemplo, asigna el rol API Admin a un nuevo usuario. Consulta Gestionar el acceso en Google Cloud.
  2. En la vista Acceso al entorno de la interfaz de usuario de Apigee, añade el usuario y define los roles de usuario adicionales para cada entorno de la organización, tal como se describe en Gestionar usuarios. Ten en cuenta que los roles definidos en la interfaz de usuario de Apigee que tienen un ámbito de entorno no sustituyen a los roles definidos a nivel de Google Cloud, sino que se suman a ellos.