이 페이지는 Apigee 및 Apigee Hybrid에 적용됩니다.
Apigee Edge 문서 보기
이 페이지에서는 Apigee 리소스에 IAM 조건을 추가하는 방법을 설명합니다. IAM 조건을 사용하면 Apigee 리소스를 세부적으로 제어할 수 있습니다.
시작하기 전에
Apigee는 Google Cloud의 Identity and Access Management(IAM)를 사용하여 Apigee 리소스의 역할과 권한을 관리합니다. 따라서 IAM에서 Apigee 리소스의 조건을 지정하거나 수정하기 전에 다음 IAM 개념을 숙지해야 합니다.
IAM 조건 추가
Apigee 리소스에 IAM 조건을 추가하려면 다음 정보가 필요합니다.
- 이름이 지정된 리소스 URI - Apigee의 모든 리소스에는 고유한 리소스 URI가 있습니다. 예를 들어 API 제품 리소스의 URI는
organizations/{org}/apiproducts/{apiproduct}
입니다. 사용 가능한 모든 URI의 전체 목록은 Apigee REST 리소스를 참조하세요. 리소스에 대한 액세스 권한을 세분화된 수준에서 제어하려면 이름 지정 규칙에 따라 리소스 이름을 지정해야 합니다. 요구사항에 따라 준수할 이름 지정 규칙을 결정할 수 있습니다. 예를 들어 마케팅팀에서 소유한 모든 API 제품에marketing
이라는 단어를 프리픽스로 사용할 수 있습니다. 이 예시에서는 마케팅팀의 API 제품에 대한 리소스 URI는organizations/{org}/apiproducts/marketing-
으로 시작합니다. - 상위 요소 전용 권한 - 리소스나 하위 리소스에 상위 요소 전용 권한이 필요한지 확인합니다. 자세한 내용은 상위 요소 전용 권한을 참조하세요.
- 리소스 유형 - 조건에서 리소스 유형을 필터링하여 리소스 범위를 더 좁힐 수 있습니다. Apigee에서는 다음 리소스의 조건을 지원합니다.
리소스 이름 리소스 유형 API 프록시 apigee.googleapis.com/Proxy API 프록시 버전 apigee.googleapis.com/ProxyRevision API 프록시 키-값 맵 apigee.googleapis.com/KeyValueMap API 제품 apigee.googleapis.com/ApiProduct API 제품 속성 apigee.googleapis.com/ApiProductAttribute 개발자 apigee.googleapis.com/Developer 개발자 속성 apigee.googleapis.com/DeveloperAttribute 개발자 앱 apigee.googleapis.com/DeveloperApp 개발자 앱 속성 apigee.googleapis.com/DeveloperAppAttribute 키 값 항목(API 프록시 범위) apigee.googleapis.com/KeyValueEntry 요금제 apigee.googleapis.com/RatePlan SharedFlow apigee.googleapis.com/SharedFlow SharedFlow 버전 apigee.googleapis.com/SharedFlowRevision
예시
다음 표에는 몇 가지 샘플 리소스 조건과 해당 권한이 나와 있습니다.
조건 | 설명 |
---|---|
resource.name.startsWith("organizations/{org-name}/apis/catalog-") || resource.type == "cloudresourcemanager.googleapis.com/Project"
|
이 조건은 다음 권한을 제공합니다.
|
(resource.name.startsWith("organizations/{org-name}/apis/catalog-proxy/keyvaluemaps") &&
resource.type == "apigee.googleapis.com/KeyValueMap") || resource.type == "cloudresourcemanager.googleapis.com/Project" |
이 조건은 catalog-proxy API 프록시의 KeyValueMap에서 가져오기, 만들기, 업데이트, 삭제 작업에 대한 권한을 제공합니다. |
resource.type == "apigee.googleapis.com/Proxy" || resource.type == "cloudresourcemanager.googleapis.com/Project" |
이 조건은 모든 API 프록시의 나열하기, 가져오기, 만들기, 업데이트, 삭제 작업에 대한 권한을 제공합니다. |
다음 단계
IAM 문서의 다음 정보를 검토합니다.