Esta página se aplica a Apigee y Apigee Hybrid.
Consulta la documentación de Apigee Edge.
En esta página, se describe cómo agregar Condiciones de IAM a tus recursos de Apigee. Una condición de IAM te permite tener control detallado sobre tus recursos de Apigee.
Antes de comenzar
Apigee usa Identity and Access Management (IAM) de Google Cloud a fin de administrar los roles y los permisos para los recursos de Apigee. Por lo tanto, antes de especificar o modificar las condiciones en IAM para tus recursos de Apigee, familiarízate con los siguientes conceptos de IAM:
- Recurso
- Jerarquía de recursos
- Funciones
- Funciones personalizadas
- Permisos
- Permisos solo para superiores
Agrega condiciones de IAM
Para agregar una condición de IAM a un recurso de Apigee, necesitas la siguiente información:
- URI de recurso con nombre: Cada recurso en Apigee tiene un URI de recurso único. Por ejemplo, el URI del recurso de los productos de API es
organizations/{org}/apiproducts/{apiproduct}
. Para obtener una lista completa de todos los URI disponibles, consulta los recursos de REST de Apigee. Para controlar los permisos de acceso de un recurso en un nivel detallado, debes asignar un nombre a tu recurso de acuerdo con una convención de nombres. Según tus requisitos, puedes decidir qué convención de nombres deseas seguir. Por ejemplo, puedes anteponer la palabramarketing
a todos los productos de API que pertenecen al equipo de marketing. En este ejemplo, el URI del recurso para los productos de API del equipo de marketing comenzará conorganizations/{org}/apiproducts/marketing-
. - Permisos solo para superiores: verifica si un recurso o cualquiera de sus recursos secundarios requieren el permiso solo para superiores. Para obtener más información, consulta Permisos solo para superiores.
- Tipo de recurso: Para limitar aún más el alcance de los recursos, filtra por un tipo de recurso en la condición. Apigee admite condiciones para los siguientes recursos:
Nombre del recurso Tipo de recurso proxy de API apigee.googleapis.com/Proxy Revisión del proxy de API apigee.googleapis.com/ProxyRevision Mapa de clave-valor del proxy de API apigee.googleapis.com/KeyValueMap Producto de API apigee.googleapis.com/ApiProduct Atributos de producto de API apigee.googleapis.com/ApiProductAttribute Desarrollador apigee.googleapis.com/Developer Atributos de desarrollador apigee.googleapis.com/DeveloperAttribute App de desarrollador apigee.googleapis.com/DeveloperApp Atributos de la app para desarrolladores apigee.googleapis.com/DeveloperAppAttribute Entradas de par clave-valor (alcance del proxy de API) apigee.googleapis.com/KeyValueEntry Plan de tarifa apigee.googleapis.com/RatePlan SharedFlow apigee.googleapis.com/SharedFlow Revisión de SharedFlow apigee.googleapis.com/SharedFlowRevision
Ejemplos
La tabla enumera algunas condiciones de recursos de muestra y los permisos correspondientes:
Condición | Descripción |
---|---|
resource.name.startsWith("organizations/{org-name}/apis/catalog-") || resource.type == "cloudresourcemanager.googleapis.com/Project"
|
Esta condición proporciona los permisos siguientes:
|
(resource.name.startsWith("organizations/{org-name}/apis/catalog-proxy/keyvaluemaps") &&
resource.type == "apigee.googleapis.com/KeyValueMap") || resource.type == "cloudresourcemanager.googleapis.com/Project" |
Esta condición proporciona permisos para las operaciones Get, Create, Update y Delete en KeyValueMaps en el proxy de API catalog-proxy . |
resource.type == "apigee.googleapis.com/Proxy" || resource.type == "cloudresourcemanager.googleapis.com/Project" |
Esta condición proporciona permisos para las operaciones List, Get, Create, Update y Delete en todos los proxies de API. |
¿Qué sigue?
Revisa la siguiente información en la documentación de IAM:
- Agrega una vinculación de funciones condicional a una política
- Modifica una vinculación de función condicional existente
- Quita una vinculación de función condicional