Menambahkan Kondisi IAM Apigee ke kebijakan

Halaman ini berlaku untuk Apigee dan Apigee Hybrid.

Lihat dokumentasi Apigee Edge.

Halaman ini menjelaskan cara menambahkan Kondisi IAM ke resource Apigee Anda. Kondisi IAM memungkinkan Anda memiliki kontrol terperinci atas resource Apigee Anda.

Sebelum memulai

Apigee menggunakan Identity and Access Management (IAM) Google Cloud untuk mengelola peran dan izin untuk resource Apigee. Oleh karena itu, sebelum menentukan atau mengubah kondisi di IAM untuk resource Apigee, pahami konsep IAM berikut:

• Resource
• Hierarki resource
• Peran
• Peran khusus
• Izin
• Izin khusus induk

Menambahkan IAM Conditions

Untuk menambahkan kondisi IAM ke resource Apigee, Anda memerlukan informasi berikut:

• URI Resource Bernama - Setiap resource di Apigee memiliki URI resource yang unik. Misalnya, URI untuk resource produk API adalah organizations/{org}/apiproducts/{apiproduct}. Untuk mengetahui daftar lengkap semua URI yang tersedia, lihat resource REST Apigee. Untuk mengontrol izin akses resource pada tingkat perincian, Anda harus memberi nama resource sesuai dengan konvensi penamaan. Berdasarkan persyaratan, Anda dapat menentukan konvensi penamaan yang ingin diikuti. Misalnya, Anda dapat menambahkan awalan kata marketing untuk semua produk API yang dimiliki oleh tim pemasaran. Dalam contoh ini, URI resource untuk produk API tim pemasaran akan dimulai dengan organizations/{org}/apiproducts/marketing-.
• Izin khusus orang tua - Periksa apakah resource atau resource turunannya memerlukan izin khusus orang tua. Untuk mengetahui informasi selengkapnya, lihat Izin khusus orang tua.
• Jenis resource - Anda dapat mempersempit cakupan resource lebih lanjut, dengan memfilter jenis resource dalam kondisi. Apigee mendukung kondisi untuk resource berikut:

  Nama fasilitas	Jenis resource
  Proxy API	apigee.googleapis.com/Proxy
  Revisi proxy API	apigee.googleapis.com/ProxyRevision
  Peta nilai kunci proxy API	apigee.googleapis.com/KeyValueMap
  Produk API	apigee.googleapis.com/ApiProduct
  Atribut produk API	apigee.googleapis.com/ApiProductAttribute
  Developer	apigee.googleapis.com/Developer
  Atribut developer	apigee.googleapis.com/DeveloperAttribute
  Aplikasi developer	apigee.googleapis.com/DeveloperApp
  Atribut aplikasi developer	apigee.googleapis.com/DeveloperAppAttribute
  Entri nilai kunci (cakupan proxy API)	apigee.googleapis.com/KeyValueEntry
  Paket tarif	apigee.googleapis.com/RatePlan
  SharedFlow	apigee.googleapis.com/SharedFlow
  Revisi SharedFlow	apigee.googleapis.com/SharedFlowRevision

Contoh

Tabel ini mencantumkan beberapa contoh kondisi resource dan izin yang sesuai:

Kondisi	Deskripsi
resource.name.startsWith("organizations/{org-name}/apis/catalog-") || resource.type == "cloudresourcemanager.googleapis.com/Project"	Kondisi ini memberikan izin berikut: Mencantumkan semua proxy Operasi Get, Create, Update, dan Delete pada proxy API yang namanya dimulai dengan catalog-. Semua operasi pada resource Revision dan KeyValueMap milik proxy API catalog-*.
(resource.name.startsWith("organizations/{org-name}/apis/catalog-proxy/keyvaluemaps") && resource.type == "apigee.googleapis.com/KeyValueMap") || resource.type == "cloudresourcemanager.googleapis.com/Project"	Kondisi ini memberikan izin untuk operasi Get, Create, Update, dan Delete pada KeyValueMaps di proxy API catalog-proxy.
resource.type == "apigee.googleapis.com/Proxy" || resource.type == "cloudresourcemanager.googleapis.com/Project"	Kondisi ini memberikan izin untuk operasi List, Get, Create, Update, dan Delete pada semua proxy API.

Langkah berikutnya

Baca informasi berikut dalam dokumentasi IAM:

• Menambahkan binding peran bersyarat ke kebijakan
• Mengubah binding peran bersyarat yang ada
• Menghapus binding peran bersyarat