Ajouter des conditions Apigee IAM aux stratégies

Cette page s'applique à Apigee et à Apigee hybrid.

Consultez la documentation d'Apigee Edge.

Cette page explique comment ajouter des conditions IAM à vos ressources Apigee. Une condition IAM vous permet de contrôler avec précision vos ressources Apigee.

Avant de commencer

Apigee utilise Cloud IAM (Cloud Identity and Access Management) de Google Cloud pour gérer les rôles et les autorisations des ressources Apigee. Par conséquent, avant de spécifier ou de modifier des conditions dans IAM pour vos ressources Apigee, familiarisez-vous avec les concepts IAM suivants:

Ajouter des conditions IAM

Pour ajouter une condition IAM à une ressource Apigee, vous avez besoin des informations suivantes:

URI de ressource nommé : chaque ressource dans Apigee possède un URI de ressource unique. Par exemple, l'URI pour la ressource des produits d'API est organizations/{org}/apiproducts/{apiproduct}. Pour obtenir la liste complète de tous les URI disponibles, consultez la section Ressources REST Apigee. Pour contrôler les autorisations d'accès à une ressource à des niveaux précis, vous devez nommer votre ressource conformément à une convention d'attribution de noms. En fonction de vos besoins, vous pouvez décider de la convention d'attribution de noms à suivre. Par exemple, vous pouvez ajouter le préfixe marketing pour tous les produits d'API appartenant à l'équipe marketing. Dans cet exemple, l'URI de ressource pour les produits d'API de l'équipe marketing commencera par organizations/{org}/apiproducts/marketing-.
Autorisations de niveau parent uniquement : vérifiez si une ressource ou l'une de ses ressources enfants nécessite l'autorisation de niveau parent uniquement. Pour en savoir plus, consultez la section Autorisations de niveau parent uniquement.

Type de ressource : vous pouvez affiner davantage le champ d'application des ressources, en appliquant un filtre par type de ressource dans la condition. Apigee accepte les conditions pour les ressources suivantes :

Nom de la ressource	Type de ressource
Proxy d'API	apigee.googleapis.com/Proxy
Révision du proxy d'API	apigee.googleapis.com/ProxyRevision
Mappage clé-valeur du proxy d'API	apigee.googleapis.com/KeyValueMap
Produit d'API	apigee.googleapis.com/ApiProduct
Attributs du produit d'API	apigee.googleapis.com/ApiProductAttribute
Développeur	apigee.googleapis.com/Developer
Attributs du développeur	apigee.googleapis.com/DeveloperAttribute
Application de développeur	apigee.googleapis.com/DeveloperApp
Attributs de l'application du développeur	apigee.googleapis.com/DeveloperAppAttribute
Entrées clé-valeur (champ d'application du proxy d'API)	apigee.googleapis.com/KeyValueEntry
Plan tarifaire	apigee.googleapis.com/RatePlan
SharedFlow	apigee.googleapis.com/SharedFlow
Révision de SharedFlow	apigee.googleapis.com/SharedFlowRevision

Exemples

Le tableau répertorie quelques exemples de conditions de ressource et les autorisations correspondantes :

Condition Description

Condition	Description
`resource.name.startsWith("organizations/{org-name}/apis/catalog-") \|\| resource.type == "cloudresourcemanager.googleapis.com/Project"`	Cette condition fournit les autorisations suivantes : Répertorier tous les proxys Opérations Get, Create, Update et Delete sur les proxys d'API dont le nom commence par `catalog-`. Toutes les opérations sur les ressources `Revision` et `KeyValueMap` appartenant aux proxys d'API `catalog-*`.
`(resource.name.startsWith("organizations/{org-name}/apis/catalog-proxy/keyvaluemaps") && resource.type == "apigee.googleapis.com/KeyValueMap") \|\| resource.type == "cloudresourcemanager.googleapis.com/Project"`	Cette condition fournit des autorisations pour les opérations Get, Create, Update et Delete sur KeyValueMaps dans le proxy d'API `catalog-proxy`.
`resource.type == "apigee.googleapis.com/Proxy" \|\| resource.type == "cloudresourcemanager.googleapis.com/Project"`	Cette condition fournit des autorisations pour les opérations List, Get, Create, Update et Delete sur tous les proxys d'API.

resource.name.startsWith("organizations/{org-name}/apis/catalog-") || resource.type == "cloudresourcemanager.googleapis.com/Project"

Cette condition fournit les autorisations suivantes :

Répertorier tous les proxys
Opérations Get, Create, Update et Delete sur les proxys d'API dont le nom commence par catalog-.
Toutes les opérations sur les ressources Revision et KeyValueMap appartenant aux proxys d'API catalog-*.

(resource.name.startsWith("organizations/{org-name}/apis/catalog-proxy/keyvaluemaps") && resource.type == "apigee.googleapis.com/KeyValueMap") || resource.type == "cloudresourcemanager.googleapis.com/Project" Cette condition fournit des autorisations pour les opérations Get, Create, Update et Delete sur KeyValueMaps dans le proxy d'API catalog-proxy.

resource.type == "apigee.googleapis.com/Proxy" || resource.type == "cloudresourcemanager.googleapis.com/Project" Cette condition fournit des autorisations pour les opérations List, Get, Create, Update et Delete sur tous les proxys d'API.

Remarque : Pour toutes vos conditions de ressources, vous devez inclure la condition suivante afin que l'interface utilisateur d'Apigee puisse appliquer correctement les conditions IAM :
resource.type == "cloudresourcemanager.googleapis.com/Project"

Étapes suivantes

Consultez les informations suivantes dans la documentation IAM :