Diese Seite gilt für Apigee und Apigee Hybrid.
Apigee Edge-Dokumentation aufrufen
Auf dieser Seite wird beschrieben, wie Sie IAM Conditions zu Ihren Apigee-Ressourcen hinzufügen. Mit einer IAM Condition können Sie Ihre Apigee-Ressourcen genau steuern.
Hinweis
Apigee verwendet die Identitäts- und Zugriffsverwaltung (IAM) von Google Cloud, um Rollen und Berechtigungen für die Ressourcen von Apigee zu verwalten. Machen Sie sich daher mit den folgenden IAM-Konzepten vertraut, bevor Sie Bedingungen in IAM für Ihre Apigee-Ressourcen angeben oder ändern:
- Ressource
- Ressourcenhierarchie
- Rollen
- Benutzerdefinierte Rollen
- Berechtigungen
- Nur für übergeordnete Ressourcen geltende Berechtigungen
IAM Conditions hinzufügen
Für das Hinzufügen einer IAM Condition zu einer Apigee-Ressource benötigen Sie die folgenden Informationen:
- Benannter Ressourcen-URI: Jede Ressource in Apigee hat einen eindeutigen Ressourcen-URI. Der URI für die API-Produktressource ist beispielsweise
organizations/{org}/apiproducts/{apiproduct}. Eine vollständige Liste aller verfügbaren URIs finden Sie unter Apigee REST-Ressourcen. Wenn Sie Zugriffsberechtigungen für eine Ressource detailliert steuern möchten, müssen Sie Ihre Ressource gemäß einer Namenskonvention benennen. Abhängig von Ihren Anforderungen können Sie entscheiden, welche Namenskonvention Sie einhalten möchten. Sie können beispielsweise dem Wortmarketingfür alle API-Produkte, die dem Marketingteam gehören, das Präfix voranstellen. In diesem Beispiel beginnt der Ressourcen-URI für die API-Produkte des Marketingteams mitorganizations/{org}/apiproducts/marketing-. - Nur übergeordnete Berechtigungen: Mit dieser Option können Sie prüfen, ob eine Ressource oder eine ihrer untergeordneten Ressourcen die Berechtigung nur für übergeordnete Ressourcen erfordert. Weitere Informationen finden Sie unter Berechtigungen für übergeordnete Ressourcen.
- Ressourcentyp: Sie können den Umfang der Ressourcen weiter einschränken, indem Sie in der Bedingung nach einem Ressourcentyp filtern. Apigee unterstützt Bedingungen für die folgenden Ressourcen:
Ressourcenname Ressourcentyp API-Proxy apigee.googleapis.com/Proxy API-Proxy-Überarbeitung apigee.googleapis.com/ProxyRevision API-Proxy-Schlüssel/Wert-Zuordnung apigee.googleapis.com/KeyValueMap API-Produkt apigee.googleapis.com/ApiProduct API-Produktattribute apigee.googleapis.com/ApiProductAttribute Entwickler apigee.googleapis.com/Developer Entwicklerattribute apigee.googleapis.com/DeveloperAttribute Entwickler-App apigee.googleapis.com/DeveloperApp Attribute der Entwickler-App apigee.googleapis.com/DeveloperAppAttribute Schlüsselwerteinträge (API-Proxy-Bereich) apigee.googleapis.com/KeyValueEntry Tarifpaket apigee.googleapis.com/RatePlan SharedFlow apigee.googleapis.com/SharedFlow SharedFlow-Revision apigee.googleapis.com/SharedFlowRevision
Beispiele
Die Tabelle enthält einige Beispiel-Ressourcenbedingungen und die entsprechenden Berechtigungen:
| Bedingung | Beschreibung |
|---|---|
resource.name.startsWith("organizations/{org-name}/apis/catalog-") || resource.type == "cloudresourcemanager.googleapis.com/Project"
|
Diese Bedingung bietet die folgenden Berechtigungen:
|
(resource.name.startsWith("organizations/{org-name}/apis/catalog-proxy/keyvaluemaps") &&
resource.type == "apigee.googleapis.com/KeyValueMap") || resource.type == "cloudresourcemanager.googleapis.com/Project" |
Diese Bedingung bietet Berechtigungen zum Abrufen, Erstellen, Aktualisieren und Löschen von KeyValueMaps im API-Proxy catalog-proxy. |
resource.type == "apigee.googleapis.com/Proxy" || resource.type == "cloudresourcemanager.googleapis.com/Project" |
Diese Bedingung gewährt Berechtigungen zum Auflisten, Abrufen, Erstellen, Aktualisieren und Löschen auf allen API-Proxys. |
Nächste Schritte
Gehen Sie die folgenden Informationen in der IAM-Dokumentation durch:
- Einer Richtlinie eine bedingte Rollenbindung hinzufügen
- Vorhandene bedingte Rollenbindung ändern
- Bedingte Rollenbindung entfernen