安裝 Apigee Hybrid 的權限和角色

安裝及管理 Apigee Hybrid 的程序需要下列權限和角色。機構內具備必要權限和角色的不同成員，可以執行個別工作。

叢集權限

每個支援的平台都有各自的建立叢集權限規定。叢集擁有者可以繼續將 Apigee 專屬元件 (包括 cert-manager 和 Apigee 執行階段) 安裝到叢集中。不過，如果您想將執行階段元件的叢集安裝作業委派給其他使用者，可以透過 Kubernetes authn-authz 管理必要的權限。

如要將混合式執行階段元件安裝到叢集，非叢集擁有者使用者必須對下列資源擁有 CRUD 權限：

• ClusterRole
• ClusterRoleBinding
• Webhook (ValidatingWebhookConfiguration 和 MutatingWebhookConfiguration)
• PriorityClass
• ClusterIssuer
• CustomerResourceDefinitions
• StorageClass (如果未使用預設 StorageClass，則為選用項目)。如要進一步瞭解如何變更預設值並建立自訂儲存空間級別，請參閱「StorageClass 設定」一文。

IAM 角色

您必須將下列 IAM 角色指派給使用者帳戶，才能執行這些步驟。如果您的帳戶沒有這些角色，請由具備這些角色的使用者執行這些步驟。如要進一步瞭解 IAM 角色，請參閱 IAM 基本角色和預先定義角色參考資料。

如要建立服務帳戶並授予專案存取權，請按照下列步驟操作：

• 建立服務帳戶 (roles/iam.serviceAccountCreator)
• 專案 IAM 管理員 (roles/resourcemanager.projectIamAdmin)

如要授予同步器存取專案的權限，請按照下列步驟操作：

• Apigee 機構管理員 (roles/apigee.admin)

如要設定 GKE 上安裝項目的工作負載身分 (選用)：

• Kubernetes Engine 管理員 (roles/container.admin)
• 服務帳戶管理員 (roles/iam.serviceAccountAdmin)