Questa pagina si applica ad Apigee e Apigee hybrid.
Visualizza la documentazione di
Apigee Edge.
Questa pagina descrive come aggiungere condizioni IAM alle risorse Apigee. Una condizione IAM consente di avere un controllo granulare sulle risorse Apigee.
Prima di iniziare
Apigee utilizza Identity and Access Management (IAM) di Google Cloud per gestire i ruoli e le autorizzazioni per le risorse di Apigee. Pertanto, prima di specificare o modificare le condizioni in IAM per le risorse Apigee, familiarizza con i seguenti concetti di IAM:
- Risorsa
- Gerarchia delle risorse
- Ruoli
- Ruoli personalizzati
- Autorizzazioni
- Autorizzazioni solo per i genitori
Aggiunta di condizioni IAM
Per aggiungere una condizione IAM a una risorsa Apigee, sono necessarie le seguenti informazioni:
- URI risorsa denominata: ogni risorsa in Apigee ha un URI risorsa univoco. Ad esempio,
l'URI della risorsa Prodotti API è
organizations/{org}/apiproducts/{apiproduct}. Per l'elenco completo di tutti gli URI disponibili, consulta le risorse REST di Apigee. Per controllare le autorizzazioni di accesso per una risorsa a livello granulare, devi assegnare un nome alla risorsa in base a una convenzione di denominazione. In base alle tue esigenze, puoi decidere quale convenzione di denominazione seguire. Ad esempio, puoi anteporre la parolamarketinga tutti i prodotti API di proprietà del team di marketing. In questo esempio, l'URI della risorsa per i prodotti dell'API del team di marketing inizierà conorganizations/{org}/apiproducts/marketing-. - Autorizzazioni solo per i genitori: controlla se una risorsa o una delle relative risorse figlio richiede l'autorizzazione solo per i genitori. Per ulteriori informazioni, consulta Autorizzazioni solo per i genitori.
- Tipo di risorsa: puoi restringere ulteriormente l'ambito delle risorse filtrando in base a un tipo di risorsa nella condizione. Apigee supporta le condizioni per le seguenti risorse:
Nome risorsa Tipo di risorsa proxy API apigee.googleapis.com/Proxy Revisione del proxy API apigee.googleapis.com/ProxyRevision Mappa chiave-valore del proxy API apigee.googleapis.com/KeyValueMap Prodotto API apigee.googleapis.com/ApiProduct Attributi del prodotto API apigee.googleapis.com/ApiProductAttribute Sviluppatore apigee.googleapis.com/Developer Attributi sviluppatore apigee.googleapis.com/DeveloperAttribute App per sviluppatori apigee.googleapis.com/DeveloperApp Attributi app sviluppatore apigee.googleapis.com/DeveloperAppAttribute Voci con valori chiave (ambito del proxy API) apigee.googleapis.com/KeyValueEntry Piano tariffario apigee.googleapis.com/RatePlan SharedFlow apigee.googleapis.com/SharedFlow Revisione flusso condiviso apigee.googleapis.com/SharedFlowRevision
Esempi
La tabella elenca alcune condizioni di risorse di esempio e le autorizzazioni corrispondenti:
| Condizione | Descrizione |
|---|---|
resource.name.startsWith("organizations/{org-name}/apis/catalog-") || resource.type == "cloudresourcemanager.googleapis.com/Project"
|
Questa condizione fornisce le seguenti autorizzazioni:
|
(resource.name.startsWith("organizations/{org-name}/apis/catalog-proxy/keyvaluemaps") &&
resource.type == "apigee.googleapis.com/KeyValueMap") || resource.type == "cloudresourcemanager.googleapis.com/Project" |
Questa condizione fornisce le autorizzazioni per le operazioni Get, Create, Update ed Delete su KeyValueMaps nel proxy API catalog-proxy. |
resource.type == "apigee.googleapis.com/Proxy" || resource.type == "cloudresourcemanager.googleapis.com/Project" |
Questa condizione fornisce autorizzazioni per le operazioni List, Get, Create, Update ed Delete su tutti i proxy API. |
Passaggi successivi
Consulta le seguenti informazioni nella documentazione di IAM:
- Aggiunta di un'associazione di ruolo condizionale a una norma
- Modificare un'associazione di ruoli condizionali esistente
- Rimuovere un'associazione di ruoli condizionale