Questa pagina si applica a Apigee e Apigee ibridi.
Visualizza
documentazione di Apigee Edge.
Questa pagina descrive come aggiungere condizioni IAM alle risorse Apigee. Una condizione IAM consente di avere un controllo granulare sulle risorse Apigee.
Prima di iniziare
Apigee utilizza Identity and Access Management (IAM) di Google Cloud per gestire i ruoli e le autorizzazioni per le risorse di Apigee. Pertanto, prima di specificare per modificare le condizioni in IAM per le risorse Apigee, acquisisci familiarità con i seguenti concetti di IAM:
- Risorsa
- Gerarchia delle risorse
- Ruoli
- Ruoli personalizzati
- Autorizzazioni
- Autorizzazioni solo per i genitori
Aggiunta di condizioni IAM
Per aggiungere una condizione IAM a una risorsa Apigee, sono necessarie le seguenti informazioni:
- URI risorsa con nome: ogni risorsa in Apigee ha un URI risorsa univoco. Ad esempio:
L'URI della risorsa dei prodotti API è
organizations/{org}/apiproducts/{apiproduct}. Per l'elenco completo di tutti gli URI disponibili, consulta REST Apigee Google Cloud. Per controllare le autorizzazioni di accesso per una risorsa a livello granulare, devi assegnare un nome alla risorsa in base a una convenzione di denominazione. In base alle tue esigenze, puoi scegliere la convenzione di denominazione da seguire. Ad esempio, puoi aggiungere il prefisso parolamarketingper tutti i prodotti API di proprietà del team di marketing. In questo esempio, l'URI della risorsa per i prodotti API del team di marketing, inizierà conorganizations/{org}/apiproducts/marketing-. - Autorizzazioni solo per i genitori: controlla se una risorsa o una delle relative risorse figlio richiede l'autorizzazione solo per i genitori. Per ulteriori informazioni, consulta le Autorizzazioni solo per i genitori.
- Tipo di risorsa: puoi restringere ulteriormente l'ambito delle risorse filtrando in base a un tipo di risorsa nella condizione. Apigee supporta le condizioni per le seguenti risorse:
Nome risorsa Tipo di risorsa proxy API apigee.googleapis.com/Proxy Revisione del proxy API apigee.googleapis.com/ProxyRevision Mappa chiave-valore del proxy API apigee.googleapis.com/KeyValueMap Prodotto API apigee.googleapis.com/ApiProduct Attributi del prodotto API apigee.googleapis.com/ApiProductAttribute Sviluppatore apigee.googleapis.com/Developer Attributi sviluppatore apigee.googleapis.com/DeveloperAttribute App per sviluppatori apigee.googleapis.com/DeveloperApp Attributi app sviluppatore apigee.googleapis.com/DeveloperAppAttribute Voci chiave-valore (ambito proxy API) apigee.googleapis.com/KeyValueEntry Piano tariffario apigee.googleapis.com/RatePlan SharedFlow apigee.googleapis.com/SharedFlow Revisione flusso condiviso apigee.googleapis.com/SharedFlowRevision
Esempi
La tabella elenca alcune condizioni di risorsa di esempio e le autorizzazioni corrispondenti:
| Condizione | Descrizione |
|---|---|
resource.name.startsWith("organizations/{org-name}/apis/catalog-") || resource.type == "cloudresourcemanager.googleapis.com/Project"
|
Questa condizione fornisce le seguenti autorizzazioni:
|
(resource.name.startsWith("organizations/{org-name}/apis/catalog-proxy/keyvaluemaps") &&
resource.type == "apigee.googleapis.com/KeyValueMap") || resource.type == "cloudresourcemanager.googleapis.com/Project" |
Questa condizione fornisce le autorizzazioni per le operazioni Get, Crea, Update ed Delete
su KeyValueMaps nel proxy API catalog-proxy. |
resource.type == "apigee.googleapis.com/Proxy" || resource.type == "cloudresourcemanager.googleapis.com/Project" |
Questa condizione fornisce le autorizzazioni per le operazioni di elenco, get, creazione, aggiornamento ed eliminazione su tutti i proxy API. |
Passaggi successivi
Esamina le seguenti informazioni nella documentazione IAM:
- Aggiunta di un'associazione condizionale di ruoli a un criterio
- Modificare un'associazione di ruoli condizionali esistente
- Rimozione di un'associazione condizionale dei ruoli