API Gateway API 访问权限概览

本页面介绍了 API Gateway 中提供的 API 访问权限控制选项。

概览

API Gateway 使用 Identity and Access Management (IAM) 来控制对 API 的访问权限。您可以在项目级层和服务使用方级层授予对 API 的访问权限。例如,您可以执行以下操作:

  • 向 API 用户授予访问权限,以便他们可以在自己的 Google Cloud 项目中启用您的 API。
  • 允许主帐号查看所有 API Gateway 资源。
  • 允许主帐号创建、更新或删除 API Gateway 资源。

控制对服务和资源的访问权限的角色

您可以在 Google Cloud Console 中访问 API 网关 > API网关详情页面,在权限面板查看和授予角色。您也可以使用 API 或 gcloud 命令行工具授予角色。

IAM 角色名称 角色称谓 说明
roles/servicemanagement.serviceConsumer Service Consumer Google 帐号、Google 群组或服务帐号在自己的项目中查看和启用 API 的权限。如需了解此角色,请参阅 Service Management API 访问权限控制主题。
roles/apigateway.viewer API Gateway Viewer 拥有对 API 网关及其相关资源的只读权限。此角色包含获取和列出 API、API 配置、网关和位置的权限。
roles/apigateway.admin API Gateway Admin 拥有对 API 网关及其相关资源的完全访问权限。此角色包含获取、创建、更新和删除 API、API 配置、网关和位置的权限。

API Gateway 权限和角色

下表列出了授予对 API Gateway 资源的访问权限及其关联权限的项目级角色:

角色 权限
API Gateway Viewer apigateway.apiconfigs.get
apigateway.apiconfigs.getIamPolicy
apigateway.apiconfigs.list
apigateway.apis.get
apigateway.apis.getIamPolicy
apigateway.apis.list
apigateway.gateways.get
apigateway.gateways.getIamPolicy
apigateway.gateways.list
apigateway.locations.get
apigateway.locations.list
apigateway.operations.get
apigateway.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
API Gateway Admin API Gateway Viewer 角色中包含的所有权限,外加:
apigateway.apiconfigs.create
apigateway.apiconfigs.delete
apigateway.apiconfigs.setIamPolicy
apigateway.apiconfigs.update
apigateway.apis.create
apigateway.apis.delete
apigateway.apis.setIamPolicy
apigateway.apis.update
apigateway.gateways.create
apigateway.gateways.delete
apigateway.gateways.setIamPolicy
apigateway.gateways.update
apigateway.operations.cancel
apigateway.operations.delete

自定义角色

如果基本角色或预定义角色无法满足您的特定需求,API Gateway 支持使用自定义角色。您可以使用 IAM 为 API Gateway 创建自定义角色