Auf dieser Seite werden die Möglichkeiten der API-Zugriffssteuerung beschrieben, die in API Gateway zur Verfügung stehen.
Überblick
API Gateway verwendet Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM), um den Zugriff auf die API zu steuern. Sie können den Zugriff auf Projektebene und auf Dienstnutzerebene für Ihre API gewähren. Sie können zum Beispiel:
- Ihren API-Nutzern Zugriff erteilen, damit diese die API in ihrem eigenen Google Cloud-Projekt aktivieren können
- Hauptkonten erlauben, alle API-Gateway-Ressourcen anzuzeigen.
- Zulassen, dass API-Hauptkonten API-Gateway-Ressourcen erstellen, aktualisieren oder löschen.
Rollen, mit denen der Zugriff auf Dienste und Ressourcen gesteuert wird
Sie können Rollen in der Google Cloud Console auf der Detailseite der Seite API-Gateway > APIs oder Gateways über das Berechtigungsfeld aufrufen und gewähren. Rollen können auch mit der API oder mit dem gcloud-Befehlszeilentool gewährt werden.
| Name der IAM-Rolle | Rollentitel | Beschreibung |
|---|---|---|
roles/servicemanagement.serviceConsumer |
Dienstnutzer | Berechtigungen für ein Google-Konto, eine Google-Gruppe oder ein Dienstkonto zum Aufrufen und Aktivieren der API im eigenen Projekt. Informationen zu dieser Rolle finden Sie unter Zugriffssteuerung für die Service Management API. |
roles/apigateway.viewer |
API Gateway-Betrachter | Lesezugriff auf ein API Gateway und die zugehörigen Ressourcen. Diese Rolle enthält Berechtigungen zum Abrufen und Auflisten von APIs, API-Konfigurationen, Gateways und Standorten. |
roles/apigateway.admin |
API Gateway-Administrator | Vollständiger Zugriff auf ein API Gateway und die zugehörigen Ressourcen. Diese Rolle enthält Berechtigungen zum Abrufen, Erstellen, Aktualisieren und Löschen von APIs, API-Konfigurationen, Gateways und Standorten. |
API Gateway-Berechtigungen und -Rollen
In der folgenden Tabelle sind die Rollen auf Projektebene aufgeführt, die Zugriff auf API Gateway-Ressourcen und die zugehörigen Berechtigungen gewähren:
| Rolle | Berechtigungen |
|---|---|
| API Gateway-Betrachter | apigateway.apiconfigs.get api.apiconfigs.getIamPolicy apigateway.apiconfigs.list apiapi.apis.get apigateway apis.getIamPolicy api.apis.list apigateway.gateways.get apigateway.gateways.getIamPolicy apigateway.gateways. list apigateway.locations.get api.locations.list apiapi.operations.get apigateway.operations.list resourcemanager.projects.get resourcemanager.projects.list |
| API Gateway-Administrator | Alle Berechtigungen, die in der Rolle API Gateway-Betrachter enthalten sind, plus: apigateway.apiconfigs.create apiapi.apiconfigs.delete apigateway.apiconfigs.setIamPolicy apiapi.apiconfigs.update apigateway.apis.create apigateway.apis.delete apigateway apis.setIamPolicy api.apis.update apigateway.gateways.create apigateway.gateways.delete apigateway.gateways. setIamPolicy apigateway.gateways.update apigateway.operations.cancel apigateway.operations.delete |
Benutzerdefinierte Rollen
Wenn einfache oder vordefinierte Rollen Ihre spezifischen Anforderungen nicht erfüllen, unterstützt API Gateway die Verwendung benutzerdefinierter Rollen. Sie können IAM verwenden, um benutzerdefinierte Rollen für das API Gateway zu erstellen.