Apigee IAM 条件をポリシーに追加する

このページは Apigee と Apigee ハイブリッドに適用されます。

Apigee Edge のドキュメントを表示します。

このページでは、Apigee リソースに IAM 条件を追加する方法について説明します。IAM 条件によって、Apigee リソースを細かく制御できます。

始める前に

Apigee では、Google Cloud の Identity and Access Management（IAM）を使用して、Apigee リソースのロールと権限が管理されます。したがって、Apigee リソースに対する IAM の条件を指定または変更する前に、次の IAM のコンセプトをよく理解してください。

IAM 条件の追加

IAM 条件を Apigee リソースに追加するには、次の情報が必要です。

名前付きリソース URI - Apigee のすべてのリソースには、一意のリソース URI があります。たとえば、API プロダクトリソースの URI は organizations/{org}/apiproducts/{apiproduct} です。使用可能なすべての URI の一覧については、Apigee REST リソースをご覧ください。リソースに対するアクセス権限をきめ細かいレベルで制御するには、命名規則に従ってリソースに名前を付ける必要があります。ご自分の要件に基づいて、従う命名規則を決定できます。たとえば、マーケティングチームが所有するすべての API プロダクトには、接頭辞 marketing を付けることができます。この例では、マーケティングチームの API プロダクトのリソース URI は、organizations/{org}/apiproducts/marketing- で始まります。
親のみの権限 - リソースまたはその子リソースに親のみの権限が必要であるかどうかを確認します。詳細については、親のみの権限をご覧ください。

リソースタイプ: 条件でリソースタイプをフィルタリングすることで、リソースの範囲をさらに絞り込むことができます。Apigee では、次のリソースの条件がサポートされます。

リソース名	リソースタイプ
API プロキシ	apigee.googleapis.com/Proxy
API プロキシリビジョン	apigee.googleapis.com/ProxyRevision
API プロキシの Key-Value マップ	apigee.googleapis.com/KeyValueMap
API プロダクト	apigee.googleapis.com/ApiProduct
API プロダクトの属性	apigee.googleapis.com/ApiProductAttribute
デベロッパー	apigee.googleapis.com/Developer
デベロッパー属性	apigee.googleapis.com/DeveloperAttribute
デベロッパーアプリ	apigee.googleapis.com/DeveloperApp
デベロッパーアプリ属性	apigee.googleapis.com/DeveloperAppAttribute
Key-Value エントリ（API プロキシスコープ）	apigee.googleapis.com/KeyValueEntry
料金プラン	apigee.googleapis.com/RatePlan
SharedFlow	apigee.googleapis.com/SharedFlow
SharedFlow リビジョン	apigee.googleapis.com/SharedFlowRevision

例

次の表に、いくつかのリソース条件の例と、対応する権限を示します。

条件説明

条件	説明
`resource.name.startsWith("organizations/{org-name}/apis/catalog-") \|\| resource.type == "cloudresourcemanager.googleapis.com/Project"`	この条件には次の権限が含まれます。すべてのプロキシを一覧表示する名前が `catalog-` で始まる API プロキシの取得、作成、更新、削除のオペレーション。 `catalog-*` API プロキシに属する `Revision` リソースと `KeyValueMap` リソースに対するすべてのオペレーション。
`(resource.name.startsWith("organizations/{org-name}/apis/catalog-proxy/keyvaluemaps") && resource.type == "apigee.googleapis.com/KeyValueMap") \|\| resource.type == "cloudresourcemanager.googleapis.com/Project"`	この条件により、`catalog-proxy` API プロキシの KeyValueMaps の取得、作成、更新、削除のオペレーションが許可されます。
`resource.type == "apigee.googleapis.com/Proxy" \|\| resource.type == "cloudresourcemanager.googleapis.com/Project"`	この条件により、すべての API プロキシに対する一覧表示、取得、作成、更新、削除のオペレーションが許可されます。

resource.name.startsWith("organizations/{org-name}/apis/catalog-") || resource.type == "cloudresourcemanager.googleapis.com/Project"

この条件には次の権限が含まれます。

すべてのプロキシを一覧表示する
名前が catalog- で始まる API プロキシの取得、作成、更新、削除のオペレーション。
catalog-* API プロキシに属する Revision リソースと KeyValueMap リソースに対するすべてのオペレーション。

(resource.name.startsWith("organizations/{org-name}/apis/catalog-proxy/keyvaluemaps") && resource.type == "apigee.googleapis.com/KeyValueMap") || resource.type == "cloudresourcemanager.googleapis.com/Project" この条件により、catalog-proxy API プロキシの KeyValueMaps の取得、作成、更新、削除のオペレーションが許可されます。

resource.type == "apigee.googleapis.com/Proxy" || resource.type == "cloudresourcemanager.googleapis.com/Project" この条件により、すべての API プロキシに対する一覧表示、取得、作成、更新、削除のオペレーションが許可されます。

注: Apigee UI で IAM 条件を適切に適用するには、すべてのリソース条件に次の条件を含める必要があります。
resource.type == "cloudresourcemanager.googleapis.com/Project"

次のステップ

IAM のドキュメントで次の情報を確認します。