Cette page s'applique à Apigee et à Apigee hybrid.
Consultez la documentation d' Apigee Edge.
Cette page explique comment ajouter des conditions IAM à vos ressources Apigee. Une condition IAM vous permet de contrôler avec précision vos ressources Apigee.
Avant de commencer
Apigee utilise Cloud IAM (Cloud Identity and Access Management) de Google Cloud pour gérer les rôles et les autorisations des ressources Apigee. Par conséquent, avant de spécifier ou de modifier des conditions dans IAM pour vos ressources Apigee, familiarisez-vous avec les concepts IAM suivants:
- Ressource
- Hiérarchie des ressources
- Rôles
- Rôles personnalisés
- Autorisations
- Autorisations de niveau parent uniquement
Ajouter des conditions IAM
Pour ajouter une condition IAM à une ressource Apigee, vous avez besoin des informations suivantes:
- URI de ressource nommé : chaque ressource dans Apigee possède un URI de ressource unique. Par exemple, l'URI pour la ressource des produits d'API est
organizations/{org}/apiproducts/{apiproduct}
. Pour obtenir la liste complète de tous les URI disponibles, consultez la section Ressources REST Apigee. Pour contrôler les autorisations d'accès à une ressource à des niveaux précis, vous devez nommer votre ressource conformément à une convention d'attribution de noms. En fonction de vos besoins, vous pouvez décider de la convention d'attribution de noms à suivre. Par exemple, vous pouvez ajouter le préfixemarketing
pour tous les produits d'API appartenant à l'équipe marketing. Dans cet exemple, l'URI de ressource pour les produits d'API de l'équipe marketing commencera parorganizations/{org}/apiproducts/marketing-
. - Autorisations de niveau parent uniquement : vérifiez si une ressource ou l'une de ses ressources enfants nécessite l'autorisation de niveau parent uniquement. Pour en savoir plus, consultez la section Autorisations de niveau parent uniquement.
- Type de ressource : vous pouvez affiner davantage le champ d'application des ressources, en appliquant un filtre par type de ressource dans la condition. Apigee accepte les conditions pour les ressources suivantes :
Nom de la ressource Type de ressource Proxy d'API apigee.googleapis.com/Proxy Révision du proxy d'API apigee.googleapis.com/ProxyRevision Mappage clé-valeur du proxy d'API apigee.googleapis.com/KeyValueMap Produit d'API apigee.googleapis.com/ApiProduct Attributs du produit d'API apigee.googleapis.com/ApiProductAttribute Développeur apigee.googleapis.com/Developer Attributs du développeur apigee.googleapis.com/DeveloperAttribute Application de développeur apigee.googleapis.com/DeveloperApp Attributs de l'application du développeur apigee.googleapis.com/DeveloperAppAttribute Entrées clé-valeur (champ d'application du proxy d'API) apigee.googleapis.com/KeyValueEntry Plan tarifaire apigee.googleapis.com/RatePlan SharedFlow apigee.googleapis.com/SharedFlow Révision de SharedFlow apigee.googleapis.com/SharedFlowRevision
Exemples
Le tableau répertorie quelques exemples de conditions de ressource et les autorisations correspondantes :
Condition | Description |
---|---|
resource.name.startsWith("organizations/{org-name}/apis/catalog-") || resource.type == "cloudresourcemanager.googleapis.com/Project"
|
Cette condition fournit les autorisations suivantes :
|
(resource.name.startsWith("organizations/{org-name}/apis/catalog-proxy/keyvaluemaps") &&
resource.type == "apigee.googleapis.com/KeyValueMap") || resource.type == "cloudresourcemanager.googleapis.com/Project" |
Cette condition fournit des autorisations pour les opérations Get, Create, Update et Delete sur KeyValueMaps dans le proxy d'API catalog-proxy . |
resource.type == "apigee.googleapis.com/Proxy" || resource.type == "cloudresourcemanager.googleapis.com/Project" |
Cette condition fournit des autorisations pour les opérations List, Get, Create, Update et Delete sur tous les proxys d'API. |
Étapes suivantes
Consultez les informations suivantes dans la documentation IAM :
- Ajouter une liaison de rôle conditionnelle à une règle
- Modifier une liaison de rôle conditionnelle existante
- Supprimer une liaison de rôle conditionnelle