Cette page décrit les options de contrôle d'accès aux API disponibles dans API Gateway.
Aperçu
API Gateway utilise Identity and Access Management (IAM) pour contrôler l'accès à votre API. Vous pouvez accorder l'accès à l'API au niveau du projet et au niveau du client de service. Par exemple, vous pouvez :
- accorder l'accès aux utilisateurs de votre API afin qu'ils puissent l'activer dans leur propre projet Google Cloud.
- Autoriser les comptes principaux à afficher toutes les ressources API Gateway.
- Autoriser les entités principales à créer, mettre à jour ou supprimer des ressources API Gateway.
Rôles qui contrôlent l'accès aux services et aux ressources
Vous pouvez afficher et attribuer des rôles à l'aide du panneau des autorisations de la page de détails API Gateway > API ou Passerelles dans Google Cloud Console. Les rôles peuvent également être attribués à l'aide de l'API ou de l'outil de ligne de commande gcloud
.
Nom de rôle IAM | Titre du rôle | Description |
---|---|---|
roles/servicemanagement.serviceConsumer |
Client du service | Autorisations pour un compte Google, un groupe Google ou un compte de service pour afficher et activer l'API dans son propre projet. Pour en savoir plus sur ce rôle, consultez la page Contrôle des accès à l'API Service Management. |
roles/apigateway.viewer |
Lecteur API Gateway | Accès en lecture seule à une passerelle API et à ses ressources associées. Ce rôle inclut des autorisations permettant d'obtenir et de répertorier les API, les configurations d'API, les passerelles et les emplacements. |
roles/apigateway.admin |
Administrateur API Gateway | Accès complet à une passerelle API et aux ressources associées. Ce rôle inclut les autorisations nécessaires pour obtenir, créer, mettre à jour et supprimer des API, des configurations d'API, des passerelles et des emplacements. |
Autorisations et rôles API Gateway
Le tableau suivant répertorie les rôles au niveau du projet qui accordent l'accès aux ressources API Gateway et les autorisations associées :
Rôle | Autorisations |
---|---|
Lecteur API Gateway | apigateway.apiconfigs.get apigateway.apiconfigs.getIamPolicy apigateway.apiconfigs.list apigateway.apis.get apigateway.apis.getIamPolicy apigateway.apis.list apigateway.gateways.get apigateway.gateways.getIamPolicy apigateway.gateways.list apigateway.locations.get apigateway.locations.list apigateway.operations.get apigateway.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Administrateur API Gateway | Toutes les autorisations incluses dans le rôle Lecteur API Gateway, plus : apigateway.apiconfigs.create apigateway.apiconfigs.delete apigateway.apiconfigs.setIamPolicy apigateway.apiconfigs.update apigateway.apis.create apigateway.apis.delete apigateway.apis.setIamPolicy apigateway.apis.update apigateway.gateways.create apigateway.gateways.delete apigateway.gateways.setIamPolicy apigateway.gateways.update apigateway.operations.cancel apigateway.operations.delete |
Rôles personnalisés
Si les rôles de base ou prédéfinis ne répondent pas à vos besoins spécifiques, API Gateway permet d'utiliser des rôles personnalisés. Vous pouvez utiliser IAM afin de créer des rôles personnalisés pour API Gateway.