Diese Seite wurde von der Cloud Translation API übersetzt.

Apigee IAM Conditions zu Richtlinien hinzufügen

Diese Seite gilt für Apigee und Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

Auf dieser Seite wird beschrieben, wie Sie IAM Conditions zu Ihren Apigee-Ressourcen hinzufügen. Mit einer IAM Condition können Sie Ihre Apigee-Ressourcen genau steuern.

Hinweis

Apigee verwendet die Identitäts- und Zugriffsverwaltung (IAM) von Google Cloud, um Rollen und Berechtigungen für die Ressourcen von Apigee zu verwalten. Machen Sie sich daher mit den folgenden IAM-Konzepten vertraut, bevor Sie Bedingungen in IAM für Ihre Apigee-Ressourcen angeben oder ändern:

IAM Conditions hinzufügen

Für das Hinzufügen einer IAM Condition zu einer Apigee-Ressource benötigen Sie die folgenden Informationen:

Benannter Ressourcen-URI: Jede Ressource in Apigee hat einen eindeutigen Ressourcen-URI. Der URI für die API-Produktressource ist beispielsweise organizations/{org}/apiproducts/{apiproduct}. Eine vollständige Liste aller verfügbaren URIs finden Sie unter Apigee REST-Ressourcen. Wenn Sie Zugriffsberechtigungen für eine Ressource detailliert steuern möchten, müssen Sie Ihre Ressource gemäß einer Namenskonvention benennen. Abhängig von Ihren Anforderungen können Sie entscheiden, welche Namenskonvention Sie einhalten möchten. Sie können beispielsweise dem Wort marketing für alle API-Produkte, die dem Marketingteam gehören, das Präfix voranstellen. In diesem Beispiel beginnt der Ressourcen-URI für die API-Produkte des Marketingteams mit organizations/{org}/apiproducts/marketing-.
Nur übergeordnete Berechtigungen: Mit dieser Option können Sie prüfen, ob eine Ressource oder eine ihrer untergeordneten Ressourcen die Berechtigung nur für übergeordnete Ressourcen erfordert. Weitere Informationen finden Sie unter Berechtigungen für übergeordnete Ressourcen.

Ressourcentyp: Sie können den Umfang der Ressourcen weiter einschränken, indem Sie in der Bedingung nach einem Ressourcentyp filtern. Apigee unterstützt Bedingungen für die folgenden Ressourcen:

Ressourcenname	Ressourcentyp
API-Proxy	apigee.googleapis.com/Proxy
API-Proxy-Überarbeitung	apigee.googleapis.com/ProxyRevision
API-Proxy-Schlüssel/Wert-Zuordnung	apigee.googleapis.com/KeyValueMap
API-Produkt	apigee.googleapis.com/ApiProduct
API-Produktattribute	apigee.googleapis.com/ApiProductAttribute
Entwickler	apigee.googleapis.com/Developer
Entwicklerattribute	apigee.googleapis.com/DeveloperAttribute
Entwickler-App	apigee.googleapis.com/DeveloperApp
Attribute der Entwickler-App	apigee.googleapis.com/DeveloperAppAttribute
Schlüsselwerteinträge (API-Proxy-Bereich)	apigee.googleapis.com/KeyValueEntry
Tarifpaket	apigee.googleapis.com/RatePlan
SharedFlow	apigee.googleapis.com/SharedFlow
SharedFlow-Revision	apigee.googleapis.com/SharedFlowRevision

Beispiele

Die Tabelle enthält einige Beispiel-Ressourcenbedingungen und die entsprechenden Berechtigungen:

Bedingung Beschreibung

Bedingung	Beschreibung
`resource.name.startsWith("organizations/{org-name}/apis/catalog-") \|\| resource.type == "cloudresourcemanager.googleapis.com/Project"`	Diese Bedingung bietet die folgenden Berechtigungen: Alle Proxys auflisten Abrufen, Erstellen, Aktualisieren und Löschen auf API-Proxys, deren Name mit `catalog-` beginnt. Alle Vorgänge auf den Ressourcen `Revision` und `KeyValueMap`, die zu den API-Proxys `catalog-*` gehören.
`(resource.name.startsWith("organizations/{org-name}/apis/catalog-proxy/keyvaluemaps") && resource.type == "apigee.googleapis.com/KeyValueMap") \|\| resource.type == "cloudresourcemanager.googleapis.com/Project"`	Diese Bedingung bietet Berechtigungen zum Abrufen, Erstellen, Aktualisieren und Löschen von KeyValueMaps im API-Proxy `catalog-proxy`.
`resource.type == "apigee.googleapis.com/Proxy" \|\| resource.type == "cloudresourcemanager.googleapis.com/Project"`	Diese Bedingung gewährt Berechtigungen zum Auflisten, Abrufen, Erstellen, Aktualisieren und Löschen auf allen API-Proxys.

resource.name.startsWith("organizations/{org-name}/apis/catalog-") || resource.type == "cloudresourcemanager.googleapis.com/Project"

Diese Bedingung bietet die folgenden Berechtigungen:

Alle Proxys auflisten
Abrufen, Erstellen, Aktualisieren und Löschen auf API-Proxys, deren Name mit catalog- beginnt.
Alle Vorgänge auf den Ressourcen Revision und KeyValueMap, die zu den API-Proxys catalog-* gehören.

(resource.name.startsWith("organizations/{org-name}/apis/catalog-proxy/keyvaluemaps") && resource.type == "apigee.googleapis.com/KeyValueMap") || resource.type == "cloudresourcemanager.googleapis.com/Project" Diese Bedingung bietet Berechtigungen zum Abrufen, Erstellen, Aktualisieren und Löschen von KeyValueMaps im API-Proxy catalog-proxy.

resource.type == "apigee.googleapis.com/Proxy" || resource.type == "cloudresourcemanager.googleapis.com/Project" Diese Bedingung gewährt Berechtigungen zum Auflisten, Abrufen, Erstellen, Aktualisieren und Löschen auf allen API-Proxys.

Hinweis: Für alle Ressourcenbedingungen müssen Sie die folgende Bedingung angeben, damit die Apigee-Benutzeroberfläche die IAM-Bedingungen ordnungsgemäß erzwingen kann:
resource.type == "cloudresourcemanager.googleapis.com/Project"

Nächste Schritte

Gehen Sie die folgenden Informationen in der IAM-Dokumentation durch:

Apigee IAM Conditions zu Richtlinien hinzufügen Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Hinweis

IAM Conditions hinzufügen

Beispiele

Nächste Schritte

Apigee IAM Conditions zu Richtlinien hinzufügen