API Gateway API-Zugriff – Übersicht

Auf dieser Seite werden die Möglichkeiten der API-Zugriffssteuerung beschrieben, die in API Gateway zur Verfügung stehen.

Überblick

API Gateway verwendet Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM), um den Zugriff auf die API zu steuern. Sie können den Zugriff auf Projektebene und auf Dienstnutzerebene für Ihre API gewähren. Sie können zum Beispiel:

  • Ihren API-Nutzern Zugriff erteilen, damit diese die API in ihrem eigenen Google Cloud-Projekt aktivieren können
  • Hauptkonten erlauben, alle API-Gateway-Ressourcen anzuzeigen.
  • Zulassen, dass API-Hauptkonten API-Gateway-Ressourcen erstellen, aktualisieren oder löschen.

Rollen, mit denen der Zugriff auf Dienste und Ressourcen gesteuert wird

Sie können Rollen in der Google Cloud Console auf der Detailseite der Seite API-Gateway > APIs oder Gateways über das Berechtigungsfeld aufrufen und gewähren. Rollen können auch mit der API oder mit dem gcloud-Befehlszeilentool gewährt werden.

Name der IAM-Rolle Rollentitel Beschreibung
roles/servicemanagement.serviceConsumer Dienstnutzer Berechtigungen für ein Google-Konto, eine Google-Gruppe oder ein Dienstkonto zum Aufrufen und Aktivieren der API im eigenen Projekt. Informationen zu dieser Rolle finden Sie unter Zugriffssteuerung für die Service Management API.
roles/apigateway.viewer API Gateway-Betrachter Lesezugriff auf ein API Gateway und die zugehörigen Ressourcen. Diese Rolle enthält Berechtigungen zum Abrufen und Auflisten von APIs, API-Konfigurationen, Gateways und Standorten.
roles/apigateway.admin API Gateway-Administrator Vollständiger Zugriff auf ein API Gateway und die zugehörigen Ressourcen. Diese Rolle enthält Berechtigungen zum Abrufen, Erstellen, Aktualisieren und Löschen von APIs, API-Konfigurationen, Gateways und Standorten.

API Gateway-Berechtigungen und -Rollen

In der folgenden Tabelle sind die Rollen auf Projektebene aufgeführt, die Zugriff auf API Gateway-Ressourcen und die zugehörigen Berechtigungen gewähren:

Rolle Berechtigungen
API Gateway-Betrachter apigateway.apiconfigs.get
api.apiconfigs.getIamPolicy
apigateway.apiconfigs.list
apiapi.apis.get
apigateway apis.getIamPolicy
api.apis.list
apigateway.gateways.get
apigateway.gateways.getIamPolicy
apigateway.gateways. list
apigateway.locations.get
api.locations.list
apiapi.operations.get
apigateway.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
API Gateway-Administrator Alle Berechtigungen, die in der Rolle API Gateway-Betrachter enthalten sind, plus:
apigateway.apiconfigs.create
apiapi.apiconfigs.delete
apigateway.apiconfigs.setIamPolicy
apiapi.apiconfigs.update
apigateway.apis.create
apigateway.apis.delete
apigateway apis.setIamPolicy
api.apis.update
apigateway.gateways.create
apigateway.gateways.delete
apigateway.gateways. setIamPolicy
apigateway.gateways.update
apigateway.operations.cancel
apigateway.operations.delete

Benutzerdefinierte Rollen

Wenn einfache oder vordefinierte Rollen Ihre spezifischen Anforderungen nicht erfüllen, unterstützt API Gateway die Verwendung benutzerdefinierter Rollen. Sie können IAM verwenden, um benutzerdefinierte Rollen für das API Gateway zu erstellen.