Política VerifyIAM

Esta página se aplica a Apigee, pero no a Apigee Hybrid.

Consulta la documentación de Apigee Edge.

Descripción general

VerifyIAM es parte de un método basado en IAM de Google Cloud para administrar la autenticación y la autorización para el acceso a la API, similar a la política de OAuthv2. Para obtener información sobre cómo incluir VerifyIAM en una solución de control de acceso basada en IAM, consulta Descripción general de la autenticación de API basada en IAM.

Esta es una política estándar y se puede implementar en cualquier tipo de entorno. Para obtener información sobre los tipos de políticas y la disponibilidad con cada tipo de entorno, consulta Tipos de políticas.

Referencia de elementos

En esta referencia, se muestran los elementos y atributos de la política VerifyIAM.

<VerifyIAM async="false" continueOnError="false" enabled="true" name="MyVerifyIAMPolicy">
    <DisplayName>Custom label used in UI</DisplayName>
    <CredentialSource>flow_variable_name_containing_credential_value</CredentialSource>
</VerifyIAM>

Atributos <VerifyIAM>

<VerifyIAM async="false" continueOnError="false" enabled="true" name="MyVerifyIAMPolicy">

The following table describes attributes that are common to all policy parent elements:

Attribute	Description	Default	Presence
`name`	The internal name of the policy. The value of the `name` attribute can contain letters, numbers, spaces, hyphens, underscores, and periods. This value cannot exceed 255 characters. Optionally, use the `<DisplayName>` element to label the policy in the management UI proxy editor with a different, natural-language name.	N/A	Required
`continueOnError`	Set to `false` to return an error when a policy fails. This is expected behavior for most policies. Set to `true` to have flow execution continue even after a policy fails. See also: Fault rules are triggered ONLY in an error state (about continueOnError) Handling faults within the current flow	false	Optional
`enabled`	Set to `true` to enforce the policy. Set to `false` to turn off the policy. The policy will not be enforced even if it remains attached to a flow.	true	Optional
`async`	This attribute is deprecated.	false	Deprecated

<DisplayName> element

Use in addition to the name attribute to label the policy in the management UI proxy editor with a different, natural-language name.

<DisplayName>Policy Display Name</DisplayName>

Default

Default	N/A If you omit this element, the value of the policy's `name` attribute is used.
Presence	Optional
Type	String

N/A

If you omit this element, the value of the policy's name attribute is used.

Presence Optional

Type String

Elemento <CredentialSource>

<CredentialSource>flow_variable_name_containing_credential_value</CredentialSource>

Este elemento especifica la variable de flujo que contiene el valor de la credencial y tiene las siguientes características:

Por lo general, el cliente envía el valor en un parámetro de consulta, un encabezado HTTP o un parámetro de formulario. La cadena debe especificar la variable de flujo correspondiente en el formato request.queryparam.token.
Cuando se lee desde la referencia, se espera un valor directo. Por ejemplo, "Bearer" no debe estar presente como prefijo.
Si se omite, la ejecución de la política supone que el valor está en el encabezado de autorización y en el formato estándar "Bearer xyz".

Predeterminado	N/A
Presence	Opcional
Tipo	Variable de flujo

Ejemplo:

<VerifyIAM async="false" continueOnError="false" enabled="true" name="Verify-IAM-Permissions-1">
    <DisplayName>VerifyIAM policy for flow 1</DisplayName>
    <CredentialSource>request.queryparam.token</CredentialSource>
</VerifyIAM>

Referencia de errores

En esta sección, se describen los códigos de falla y los mensajes de error que se muestran, y las variables de falla que establece Apigee cuando esta política activa un error. Esta información es importante para saber si estás desarrollando reglas de fallas con el propósito de manejar fallas. Para obtener más información, consulta Lo que necesitas saber sobre los errores de políticas y Controla fallas.

Errores de entorno de ejecución

Estos errores pueden producirse cuando se ejecuta la política.

Código de falla	Estado de HTTP	Causa
`steps.verifyiam.CredentialSourceRefUnresolved`	`400`	No se pudo resolver la variable de flujo proporcionada dentro de la fuente de credenciales.
`steps.verifyiam.CredentialValueNotProvided`	`400`	No se encontró la credencial. Si no se proporciona la referencia de la fuente de credenciales, buscamos el lugar predeterminado como el encabezado de autorización.
`steps.verifyiam.Forbidden`	`403`	No se pudo reenviar la solicitud debido a que no hay permisos suficientes, faltan permisos de acceso o cualquier otro problema relacionado.
`steps.verifyiam.MiscellaneousAuthorizationConfigurationError`	`500`	Hay un problema con la solicitud de autenticación a IAM. El productor de la API debe corregir este error según los detalles de la respuesta de error.
`steps.verifyiam.Unauthorized`	`401`	Hay un problema con la credencial, por ejemplo, el valor no es válido o venció.
`steps.verifyiam.UnexpectedAuthorizationInfrastructureError`	`500`	Error interno.

Errores en la implementación

Esta política no muestra ningún error de implementación específico de la política.

Variables con fallas

Estas variables se configuran cuando esta política activa un error en el entorno de ejecución.

Variables	Dónde	Ejemplo
`fault.name="fault_name"`	`fault_name` es el nombre de la falla, como se indica en la tabla de Errores del entorno de ejecución anterior. El nombre de la falla es la última parte del código de la falla.	`fault.name="Unauthorized"`
`verifyiam.policy_name.failed`	`policy_name` es el nombre especificado por el usuario de la política que generó la falla.	`verifyiam.Verify-IAMToken.failed = true`