このページの内容は Apigee と Apigee ハイブリッドに該当します。
Apigee Edge のドキュメントを表示します。
このページでは、Apigee リソースに IAM 条件を追加する方法について説明します。IAM 条件によって、Apigee リソースを細かく制御できます。
始める前に
Apigee では、Google Cloud の Identity and Access Management(IAM)を使用して、Apigee リソースのロールと権限が管理されます。したがって、Apigee リソースに対する IAM の条件を指定または変更する前に、次の IAM のコンセプトをよく理解してください。
IAM 条件の追加
IAM 条件を Apigee リソースに追加するには、次の情報が必要です。
- 名前付きリソース URI - Apigee のすべてのリソースには、一意のリソース URI があります。たとえば、API プロダクト リソースの URI は
organizations/{org}/apiproducts/{apiproduct}
です。使用可能なすべての URI の一覧については、Apigee REST リソースをご覧ください。リソースに対するアクセス権限をきめ細かいレベルで制御するには、命名規則に従ってリソースに名前を付ける必要があります。ご自分の要件に基づいて、従う命名規則を決定できます。たとえば、マーケティング チームが所有するすべての API プロダクトには、接頭辞marketing
を付けることができます。この例では、マーケティング チームの API プロダクトのリソース URI は、organizations/{org}/apiproducts/marketing-
で始まります。 - 親のみの権限 - リソースまたはその子リソースに親のみの権限が必要であるかどうかを確認します。詳細については、親のみの権限をご覧ください。
- リソースタイプ: 条件でリソースタイプをフィルタリングすることで、リソースの範囲をさらに絞り込むことができます。Apigee では、次のリソースの条件がサポートされます。
リソース名 リソースタイプ API プロキシ apigee.googleapis.com/Proxy API プロキシ リビジョン apigee.googleapis.com/ProxyRevision API プロキシの Key-Value マップ apigee.googleapis.com/KeyValueMap API プロダクト apigee.googleapis.com/ApiProduct API プロダクトの属性 apigee.googleapis.com/ApiProductAttribute デベロッパー apigee.googleapis.com/Developer デベロッパー属性 apigee.googleapis.com/DeveloperAttribute デベロッパー アプリ apigee.googleapis.com/DeveloperApp デベロッパー アプリ属性 apigee.googleapis.com/DeveloperAppAttribute Key-Value エントリ(API プロキシ スコープ) apigee.googleapis.com/KeyValueEntry 料金プラン apigee.googleapis.com/RatePlan SharedFlow apigee.googleapis.com/SharedFlow SharedFlow リビジョン apigee.googleapis.com/SharedFlowRevision
例
次の表に、いくつかのリソース条件の例と、対応する権限を示します。
条件 | 説明 |
---|---|
resource.name.startsWith("organizations/{org-name}/apis/catalog-") || resource.type == "cloudresourcemanager.googleapis.com/Project"
|
この条件には次の権限が含まれます。
|
(resource.name.startsWith("organizations/{org-name}/apis/catalog-proxy/keyvaluemaps") &&
resource.type == "apigee.googleapis.com/KeyValueMap") || resource.type == "cloudresourcemanager.googleapis.com/Project" |
この条件により、catalog-proxy API プロキシの KeyValueMaps の取得、作成、更新、削除のオペレーションが許可されます。 |
resource.type == "apigee.googleapis.com/Proxy" || resource.type == "cloudresourcemanager.googleapis.com/Project" |
この条件により、すべての API プロキシに対する一覧表示、取得、作成、更新、削除のオペレーションが許可されます。 |
次のステップ
IAM のドキュメントで次の情報を確認します。