Règle VerifyIAM

Cette page s'applique à Apigee, mais pas à Apigee hybrid.

Consultez la documentation d'Apigee Edge.

Présentation

VerifyIAM fait partie d'une méthode basée sur Google Cloud IAM pour gérer l'authentification et l'autorisation des accès aux API, semblable à la règle OAuthv2. Pour savoir comment inclure VerifyIAM dans une solution de contrôle des accès basée sur IAM, consultez la présentation de l'authentification d'API basée sur IAM.

Cette règle est une règle standard qui peut être déployée sur n'importe quel type d'environnement. Pour en savoir plus sur les types de règles et la disponibilité avec chaque type d'environnement, consultez la section Types de règles.

Documentation de référence des éléments

Cette documentation de référence présente les éléments et les attributs de la règle VerifyIAM.

<VerifyIAM async="false" continueOnError="false" enabled="true" name="MyVerifyIAMPolicy">
    <DisplayName>Custom label used in UI</DisplayName>
    <CredentialSource>flow_variable_name_containing_credential_value</CredentialSource>
</VerifyIAM>

Attributs <VerifyIAM>

<VerifyIAM async="false" continueOnError="false" enabled="true" name="MyVerifyIAMPolicy">

Le tableau suivant décrit les attributs communs à tous les éléments parents des règles :

Attribut	Description	Par défaut	Présence
`name`	Nom interne de la règle. La valeur de l'attribut `name` peut contenir des lettres, des chiffres, des espaces, des tirets, des traits de soulignement et des points. Cette valeur ne peut pas dépasser 255 caractères. Vous pouvez également utiliser l'élément `<DisplayName>` pour ajouter un libellé à la règle dans l'éditeur de proxy de l'interface utilisateur de gestion, en utilisant un nom différent, en langage naturel.	N/A	Obligatoire
`continueOnError`	Définissez sur `false` pour afficher une erreur en cas d'échec d'une règle. Il s'agit du comportement attendu pour la plupart des règles. Définissez sur `true` pour que l'exécution du flux se poursuive même après l'échec d'une règle. Voir également : Les règles d'erreur sont déclenchées UNIQUEMENT en état d'erreur (à propos de continueOnError) Gérer les pannes dans le flux actuel	faux	Facultatif
`enabled`	Définissez sur `true` pour appliquer la règle. Définissez sur `false` pour désactiver la règle. La stratégie ne sera pas appliquée, même si elle reste associée à un flux.	vrai	Facultatif
`async`	Cet attribut est obsolète.	faux	Obsolète

Élément <DisplayName>

Utilisez-le, en plus de l'attribut name, pour appliquer un libellé à la règle dans l'éditeur de proxys de l'interface de gestion en utilisant un nom différent, en langage naturel.

<DisplayName>Policy Display Name</DisplayName>

Par défaut

Par défaut	N/A Si vous omettez cet élément, la valeur de l'attribut `name` de la règle est utilisée.
Présence	Facultatif
Type	Chaîne

N/A

Si vous omettez cet élément, la valeur de l'attribut name de la règle est utilisée.

Présence Facultatif

Type Chaîne

Élément <CredentialSource>

<CredentialSource>flow_variable_name_containing_credential_value</CredentialSource>

Cet élément spécifie la variable de flux contenant la valeur des identifiants et présente les caractéristiques suivantes :

En règle générale, le client envoie la valeur dans un paramètre de requête, un en-tête HTTP ou un paramètre de formulaire. La chaîne doit spécifier la variable de flux correspondante au format request.queryparam.token.
Lors de la lecture à partir de la référence, une valeur directe est attendue. Par exemple, le préfixe "Bearer" ne doit pas être présent.
Si cette valeur est omise, l'exécution de la règle suppose que la valeur se trouve dans l'en-tête d'autorisation et au format standard "Bearer xyz".

Par défaut	N/A
Présence	Facultatif
Type	Variable de flux

Exemple :

<VerifyIAM async="false" continueOnError="false" enabled="true" name="Verify-IAM-Permissions-1">
    <DisplayName>VerifyIAM policy for flow 1</DisplayName>
    <CredentialSource>request.queryparam.token</CredentialSource>
</VerifyIAM>

Informations de référence sur les erreurs

This section describes the fault codes and error messages that are returned and fault variables that are set by Apigee when this policy triggers an error. This information is important to know if you are developing fault rules to handle faults. To learn more, see What you need to know about policy errors and Handling faults.

Runtime errors

These errors can occur when the policy executes.

Fault code	HTTP status	Cause
`steps.verifyiam.CredentialSourceRefUnresolved`	`400`	Flow variable provided inside credential source could not be resolved.
`steps.verifyiam.CredentialValueNotProvided`	`400`	Credential not found. If the credential source reference is not provided, we look at the default place like authorization header.
`steps.verifyiam.Forbidden`	`403`	Request could not be forwarded due to lack of sufficient permissions or missing access scopes or any other related issues.
`steps.verifyiam.MiscellaneousAuthorizationConfigurationError`	`500`	An issue with the authentication request to IAM. The API producer needs to fix this error based on details in the error response.
`steps.verifyiam.Unauthorized`	`401`	Problem with the credential, such as the value being invalid or expired.
`steps.verifyiam.UnexpectedAuthorizationInfrastructureError`	`500`	Internal error.

Deployment errors

This policy does not return any policy-specific deployment errors.

Fault variables

These variables are set when this policy triggers an error at runtime.

Variables	Where	Example
`fault.name="fault_name"`	`fault_name` is the name of the fault, as listed in the Runtime errors table above. The fault name is the last part of the fault code.	`fault.name="Unauthorized"`
`verifyiam.policy_name.failed`	`policy_name` is the user-specified name of the policy that threw the fault.	`verifyiam.Verify-IAMToken.failed = true`