ユーザーとは、環境、API プロキシ、キーストアなど、ハイブリッド組織とその組織内のエンティティにアクセスできる認証されたアカウントを表します。
新規ユーザーを Apigee 組織に追加するには、まず GCP プロジェクトでそのユーザーのアカウントにアクセス権を付与し、次にハイブリッド UI でアクセス権を付与します(このドキュメントでは、「ユーザー」と「ユーザー アカウント」という用語を区別なく使用しています)。
新しいユーザーを追加する場合は通常、次のことを行います。
- GCP Console では、新しいユーザーを GCP プロジェクトの 1 つ以上のロールに割り当てます。これでそのユーザーは、ハイブリッド組織内のすべての環境に幅広くアクセスできるようになります。
詳細については、GCP でアクセスを管理するをご覧ください。
- ハイブリッド UI では、ハイブリッド組織の環境ごとのロールを 1 つ以上指定することで、新しいユーザーのアクセスを絞り込みます。
詳細については、ハイブリッド UI でユーザーを管理するをご覧ください。
ロール継承について
ユーザー アカウントに付与する機能は、ユーザーに割り当てたロールの種類によって異なります。たとえば、デベロッパーには API 作成者のロールを割り当て、API プロキシ、KVM、共有フローの作成を行えるようにします。プロキシをデプロイするユーザーには、デプロイ担当者のロールに割り当てることで、API プロキシ リビジョンのデプロイとデプロイ解除が可能になります。すべての Apigee のロールの詳細については、Apigee のロールをご覧ください。
また、ユーザーがロールに基づいてアクセスできるリソースは、そのロールを割り当てた場所によって異なります。
- GCP プロジェクト: GCP Console で GCP プロジェクトのロールを割り当てると、ユーザーはそのロールのすべてのハイブリッド リソース(すべての環境と、その環境内のすべてのリソース)にアクセスできます。これは、リソース階層において、GCP プロジェクトがハイブリッド UI の親であるためです。親(GCP プロジェクト)に設定された権限は、すべての子(ハイブリッド環境)に継承されます。ハイブリッド UI で環境ごとにユーザーのロールを指定して、このアクセスを絞り込めます。
- 環境へのアクセス: ハイブリッド UI でロールを割り当てると、ユーザーは選択した環境でのみ、そのロールを果たします。この割り当ては、GCP プロジェクト レベルの設定より優先されます。ただし、これらのロールの割り当ては選択した環境のみに適用されます。他のすべての環境のロールの割り当ては、引き続き GCP プロジェクトの設定を継承します。
次の図は、このアクセスモデルでの継承の仕組みを示しています。
これらのレベルの 1 つで、特定のロールをユーザーに追加すると、ユーザーはそのロールのそのレベルの下にあるすべてのリソースにデフォルトでアクセスできます。ハイブリッド環境は GCP プロジェクトの下のリソースとみなされるため、GCP プロジェクトで設定された権限は、ハイブリッド UI で環境に対してさらに細かい権限を指定しない限り、すべての環境に適用されます。
たとえば、あるユーザーを GCP プロジェクトで API 作成者として定義し、ハイブリッド UI で環境ごとのロールを指定しない場合、そのユーザーはハイブリッド組織のすべての環境に API 作成者としてアクセスできます。
ロールの推奨事項
Apigee では、新しいユーザー アカウントを追加するごとに、次のことを行うことをおすすめします(「スーパー ユーザー」や管理者を追加する場合は不要です)。
- GCP Console で、新しいユーザー アカウントを追加し、最小限の権限を持つロールを選択します。たとえば、新しいユーザーのロールを API 作成者に設定します。
- ハイブリッド UI の [Environment Access] ビューでユーザーを追加し、ユーザーの管理の説明に従って、組織内の各環境に適したロールを設定します。これにより、GCP Console でユーザーにプロジェクトへのアクセス権を付与した後に、より細かい権限を適用できます。
繰り返しになりますが、ユーザーに特定の環境に対する権限のみを持たせるには、GCP Console のプロジェクトに追加した後、ハイブリッド UI の環境で適切なロールを付与します。
GCP アクセス制御について
Google Cloud Platform 内のアクセス制御は、Cloud Identity and Access Management(Cloud IAM)を使用して制御されます。Cloud IAM を使用すると、プロジェクト内の誰がどのようなアクセス権限でどのリソースにアクセスできるのかを設定できます。
ユーザーはメンバーの一種で、リソースへのアクセスを許可できる ID を指す広義語です。GCP メンバーには、サービス アカウント、Google グループ、G Suite ドメインなどの種類があります。詳細については、Cloud Identity and Access Management のこの概要をご覧ください。