Questa pagina si applica a Apigee e Apigee ibrido.
Visualizza la documentazione di
Apigee Edge.
Questa pagina descrive come aggiungere condizioni IAM alle tue risorse Apigee. Una condizione IAM ti consente di avere un controllo granulare sulle tue risorse Apigee.
Prima di iniziare
Apigee utilizza Identity and Access Management (IAM) di Google Cloud per gestire i ruoli e le autorizzazioni per le risorse di Apigee. Pertanto, prima di specificare o modificare le condizioni in IAM per le tue risorse Apigee, acquisisci familiarità con i seguenti concetti di IAM:
- Risorsa
- Gerarchia delle risorse
- Ruoli
- Ruoli personalizzati
- Autorizzazioni
- Autorizzazioni solo per i genitori
Aggiunta di condizioni IAM
Per aggiungere una condizione IAM a una risorsa Apigee, sono necessarie le seguenti informazioni:
- URI risorsa con nome: ogni risorsa in Apigee ha un URI risorsa univoco. Ad esempio,
l'URI della risorsa dei prodotti API è
organizations/{org}/apiproducts/{apiproduct}. Per l'elenco completo di tutti gli URI disponibili, consulta le risorse REST Apigee. Per controllare le autorizzazioni di accesso per una risorsa a livello granulare, devi denominarla in base a una convenzione di denominazione. In base ai tuoi requisiti, puoi decidere la convenzione di denominazione da seguire. Ad esempio, puoi anteporre la parolamarketingper tutti i prodotti API di proprietà del team di marketing. In questo esempio, l'URI della risorsa per i prodotti API del team di marketing inizierà conorganizations/{org}/apiproducts/marketing-. - Autorizzazioni solo per i publisher principali: controlla se una risorsa o una delle relative risorse figlio richiedono l'autorizzazione solo per l'elemento padre. Per maggiori informazioni, vedi Autorizzazioni solo per i genitori.
- Tipo di risorsa - Puoi restringere ulteriormente l'ambito delle risorse filtrando in base a un tipo di risorsa nella condizione. Apigee supporta le condizioni per le seguenti risorse:
Nome della risorsa Tipo di risorsa proxy API apigee.googleapis.com/Proxy Revisione proxy API apigee.googleapis.com/ProxyRevision Mappa coppie chiave-valore proxy API apigee.googleapis.com/KeyValueMap Prodotto API apigee.googleapis.com/ApiProduct Attributi del prodotto API apigee.googleapis.com/ApiProductAttribute Sviluppatore apigee.googleapis.com/Developer Attributi sviluppatore apigee.googleapis.com/DeveloperAttribute App sviluppatore apigee.googleapis.com/DeveloperApp Attributi app sviluppatore apigee.googleapis.com/DeveloperAppAttribute Voci chiave-valore (ambito proxy API) apigee.googleapis.com/KeyValueEntry Piano tariffario apigee.googleapis.com/RatePlan SharedFlow apigee.googleapis.com/SharedFlow Revisione SharedFlow apigee.googleapis.com/SharedFlowRevision
Esempi
Nella tabella sono elencate alcune condizioni delle risorse di esempio e le autorizzazioni corrispondenti:
| Condizione | Descrizione |
|---|---|
resource.name.startsWith("organizations/{org-name}/apis/catalog-") || resource.type == "cloudresourcemanager.googleapis.com/Project"
|
Questa condizione fornisce le seguenti autorizzazioni:
|
(resource.name.startsWith("organizations/{org-name}/apis/catalog-proxy/keyvaluemaps") &&
resource.type == "apigee.googleapis.com/KeyValueMap") || resource.type == "cloudresourcemanager.googleapis.com/Project" |
Questa condizione fornisce le autorizzazioni per le operazioni Get, Create, Update ed Delete su KeyValueMaps nel proxy API catalog-proxy. |
resource.type == "apigee.googleapis.com/Proxy" || resource.type == "cloudresourcemanager.googleapis.com/Project" |
Questa condizione fornisce le autorizzazioni per le operazioni di elenco, recupero, creazione, aggiornamento ed eliminazione su tutti i proxy API. |
Passaggi successivi
Esamina le seguenti informazioni nella documentazione IAM:
- Aggiunta di un'associazione condizionale di ruoli a un criterio
- Modificare un'associazione condizionale di ruoli esistente
- Rimozione di un'associazione condizionale dei ruoli