정책에 Apigee IAM 조건 추가

이 페이지는 Apigee 및 Apigee Hybrid에 적용됩니다.

이 페이지에서는 Apigee 리소스에 IAM 조건을 추가하는 방법을 설명합니다. IAM 조건을 사용하면 Apigee 리소스를 세부적으로 제어할 수 있습니다.

시작하기 전에

Apigee는 Google Cloud의 Identity and Access Management(IAM)를 사용하여 Apigee 리소스의 역할과 권한을 관리합니다. 따라서 IAM에서 Apigee 리소스의 조건을 지정하거나 수정하기 전에 다음 IAM 개념을 숙지해야 합니다.

IAM 조건 추가

Apigee 리소스에 IAM 조건을 추가하려면 다음 정보가 필요합니다.

이름이 지정된 리소스 URI - Apigee의 모든 리소스에는 고유한 리소스 URI가 있습니다. 예를 들어 API 제품 리소스의 URI는 organizations/{org}/apiproducts/{apiproduct}입니다. 사용 가능한 모든 URI의 전체 목록은 Apigee REST 리소스를 참조하세요. 리소스에 대한 액세스 권한을 세분화된 수준에서 제어하려면 이름 지정 규칙에 따라 리소스 이름을 지정해야 합니다. 요구사항에 따라 준수할 이름 지정 규칙을 결정할 수 있습니다. 예를 들어 마케팅팀에서 소유한 모든 API 제품에 marketing이라는 단어를 프리픽스로 사용할 수 있습니다. 이 예시에서는 마케팅팀의 API 제품에 대한 리소스 URI는 organizations/{org}/apiproducts/marketing-으로 시작합니다.
상위 요소 전용 권한 - 리소스나 하위 리소스에 상위 요소 전용 권한이 필요한지 확인합니다. 자세한 내용은 상위 요소 전용 권한을 참조하세요.

리소스 유형 - 조건에서 리소스 유형을 필터링하여 리소스 범위를 더 좁힐 수 있습니다. Apigee에서는 다음 리소스의 조건을 지원합니다.

리소스 이름	리소스 유형
API 프록시	apigee.googleapis.com/Proxy
API 프록시 버전	apigee.googleapis.com/ProxyRevision
API 프록시 키-값 맵	apigee.googleapis.com/KeyValueMap
API 제품	apigee.googleapis.com/ApiProduct
API 제품 속성	apigee.googleapis.com/ApiProductAttribute
개발자	apigee.googleapis.com/Developer
개발자 속성	apigee.googleapis.com/DeveloperAttribute
개발자 앱	apigee.googleapis.com/DeveloperApp
개발자 앱 속성	apigee.googleapis.com/DeveloperAppAttribute
키 값 항목(API 프록시 범위)	apigee.googleapis.com/KeyValueEntry
요금제	apigee.googleapis.com/RatePlan
SharedFlow	apigee.googleapis.com/SharedFlow
SharedFlow 버전	apigee.googleapis.com/SharedFlowRevision

예시

다음 표에는 몇 가지 샘플 리소스 조건과 해당 권한이 나와 있습니다.

조건 설명

조건	설명
`resource.name.startsWith("organizations/{org-name}/apis/catalog-") \|\| resource.type == "cloudresourcemanager.googleapis.com/Project"`	이 조건은 다음 권한을 제공합니다. 모든 프록시 나열 이름이 `catalog-`로 시작하는 API 프록시에서 가져오기, 만들기, 업데이트, 삭제 작업 `catalog-*` API 프록시에 속하는 `Revision` 및 `KeyValueMap` 리소스의 모든 작업
`(resource.name.startsWith("organizations/{org-name}/apis/catalog-proxy/keyvaluemaps") && resource.type == "apigee.googleapis.com/KeyValueMap") \|\| resource.type == "cloudresourcemanager.googleapis.com/Project"`	이 조건은 `catalog-proxy` API 프록시의 KeyValueMap에서 가져오기, 만들기, 업데이트, 삭제 작업에 대한 권한을 제공합니다.
`resource.type == "apigee.googleapis.com/Proxy" \|\| resource.type == "cloudresourcemanager.googleapis.com/Project"`	이 조건은 모든 API 프록시의 나열하기, 가져오기, 만들기, 업데이트, 삭제 작업에 대한 권한을 제공합니다.

resource.name.startsWith("organizations/{org-name}/apis/catalog-") || resource.type == "cloudresourcemanager.googleapis.com/Project"

이 조건은 다음 권한을 제공합니다.

모든 프록시 나열
이름이 catalog-로 시작하는 API 프록시에서 가져오기, 만들기, 업데이트, 삭제 작업
catalog-* API 프록시에 속하는 Revision 및 KeyValueMap 리소스의 모든 작업

(resource.name.startsWith("organizations/{org-name}/apis/catalog-proxy/keyvaluemaps") && resource.type == "apigee.googleapis.com/KeyValueMap") || resource.type == "cloudresourcemanager.googleapis.com/Project" 이 조건은 catalog-proxy API 프록시의 KeyValueMap에서 가져오기, 만들기, 업데이트, 삭제 작업에 대한 권한을 제공합니다.

resource.type == "apigee.googleapis.com/Proxy" || resource.type == "cloudresourcemanager.googleapis.com/Project" 이 조건은 모든 API 프록시의 나열하기, 가져오기, 만들기, 업데이트, 삭제 작업에 대한 권한을 제공합니다.

참고: Apigee UI에서 IAM 조건을 올바르게 적용할 수 있도록 모든 리소스 조건에 다음 조건을 포함해야 합니다.
resource.type == "cloudresourcemanager.googleapis.com/Project"

다음 단계

IAM 문서의 다음 정보를 검토합니다.