Esta página aplica-se ao Apigee e ao Apigee Hybrid.
Veja a documentação do
Apigee Edge.
Esta página descreve como adicionar condições da IAM aos seus recursos do Apigee. Uma condição da IAM permite-lhe ter um controlo detalhado sobre os seus recursos do Apigee.
Antes de começar
O Apigee usa a gestão de identidade e de acesso (IAM) do Google Cloud para gerir funções e autorizações para os recursos do Apigee. Por conseguinte, antes de especificar ou modificar as condições no IAM para os seus recursos do Apigee, familiarize-se com os seguintes conceitos do IAM:
- Recurso
- Hierarquia de recursos
- Funções
- Funções personalizadas
- Autorizações
- Autorizações apenas para pais
Adicionar condições do IAM
Para adicionar uma condição do IAM a um recurso do Apigee, precisa das seguintes informações:
- URI do recurso com nome: cada recurso no Apigee tem um URI do recurso exclusivo. Por exemplo, o URI do recurso de produtos da API é
organizations/{org}/apiproducts/{apiproduct}. Para ver a lista completa de todos os URIs disponíveis, consulte os recursos REST do Apigee. Para controlar as autorizações de acesso de um recurso ao nível detalhado, tem de atribuir um nome ao recurso de acordo com uma convenção de nomenclatura. Com base nos seus requisitos, pode decidir que convenção de nomenclatura quer seguir. Por exemplo, pode adicionar o prefixomarketinga todos os produtos de API pertencentes à equipa de marketing. Neste exemplo, o URI do recurso para os produtos de API da equipa de marketing começa comorganizations/{org}/apiproducts/marketing-. - Autorizações apenas para pais: verifique se um recurso ou qualquer um dos respetivos recursos subordinados requer a autorização apenas para pais. Para mais informações, consulte o artigo Autorizações apenas para pais.
- Tipo de recurso: pode restringir ainda mais o âmbito dos recursos filtrando por um tipo de recurso na condição. O Apigee suporta condições para os seguintes recursos:
Nome do recurso Tipo do recurso proxy de API apigee.googleapis.com/Proxy Revisão do proxy de API apigee.googleapis.com/ProxyRevision Mapa de chaves-valores do proxy da API apigee.googleapis.com/KeyValueMap Produto da API apigee.googleapis.com/ApiProduct Atributos do produto da API apigee.googleapis.com/ApiProductAttribute Programador apigee.googleapis.com/Developer Atributos do programador apigee.googleapis.com/DeveloperAttribute App do programador apigee.googleapis.com/DeveloperApp Atributos da app do programador apigee.googleapis.com/DeveloperAppAttribute Entradas de valor-chave (âmbito do proxy da API) apigee.googleapis.com/KeyValueEntry Plano tarifário apigee.googleapis.com/RatePlan SharedFlow apigee.googleapis.com/SharedFlow Revisão do SharedFlow apigee.googleapis.com/SharedFlowRevision
Exemplos
A tabela apresenta alguns exemplos de condições de recursos e as autorizações correspondentes:
| Condição | Descrição |
|---|---|
resource.name.startsWith("organizations/{org-name}/apis/catalog-") || resource.type == "cloudresourcemanager.googleapis.com/Project"
|
Esta condição concede as seguintes autorizações:
|
(resource.name.startsWith("organizations/{org-name}/apis/catalog-proxy/keyvaluemaps") &&
resource.type == "apigee.googleapis.com/KeyValueMap") || resource.type == "cloudresourcemanager.googleapis.com/Project" |
Esta condição fornece autorizações para operações Get, Create, Update e Delete
em KeyValueMaps no proxy da API catalog-proxy. |
resource.type == "apigee.googleapis.com/Proxy" || resource.type == "cloudresourcemanager.googleapis.com/Project" |
Esta condição fornece autorizações para operações de listagem, obtenção, criação, atualização e eliminação em todos os proxies de API. |
O que se segue?
Consulte as seguintes informações na documentação do IAM:
- Adicionar uma associação de função condicional a uma política
- Modifique uma associação de funções condicional existente
- Remover uma associação de funções condicional