Esta página se aplica à Apigee e à Apigee híbrida.
Confira a documentação da
Apigee Edge.
Nesta página, descrevemos como adicionar condições do IAM aos recursos da Apigee. Uma condição do IAM permite ter controle granular sobre os recursos da Apigee.
Antes de começar
A Apigee usa o Identity and Access Management (IAM) do Google Cloud para gerenciar papéis e permissões para os recursos da Apigee. Portanto, antes de especificar ou modificar condições do IAM para seus recursos da Apigee, familiarize-se com os seguintes conceitos do IAM:
Como adicionar condições do IAM
Para adicionar uma condição do IAM a um recurso da Apigee, você precisa das seguintes informações:
- URI de recurso nomeado: todo recurso na Apigee tem um URI de recurso exclusivo. Por exemplo,
o URI do recurso de produtos da API é
organizations/{org}/apiproducts/{apiproduct}. Para a lista completa de todos os URIs disponíveis, consulte Recursos REST da Apigee. Para controlar as permissões de acesso de um recurso em um nível granular, nomeie seu recurso de acordo com uma convenção de nomenclatura. Com base nos seus requisitos, você decide qual convenção de nomenclatura quer seguir. Por exemplo, é possível prefixar a palavramarketingpara todos os produtos da API que pertencem à equipe de marketing. Neste exemplo, o URI de recurso dos produtos de API da equipe de marketing começará comorganizations/{org}/apiproducts/marketing-. - Permissões somente para o pai: verifique se um recurso ou os recursos filhos dele exigem permissão somente para o pai. Para mais informações, consulte Permissões somente para pais.
- Tipo de recurso: é possível restringir ainda mais o escopo dos recursos, filtrando um
tipo de recurso na condição. A Apigee é compatível com as condições dos seguintes recursos:
Nome do recurso Resource type Proxy de API apigee.googleapis.com/Proxy Revisão do proxy de API apigee.googleapis.com/ProxyRevision Mapa de chave-valor do proxy de API apigee.googleapis.com/KeyValueMap Produto de API apigee.googleapis.com/ApiProduct Atributos do produto da API apigee.googleapis.com/ApiProductAttribute Developer apigee.googleapis.com/Developer Atributos do desenvolvedor apigee.googleapis.com/DeveloperAttribute App do desenvolvedor apigee.googleapis.com/DeveloperApp Atributos do app do desenvolvedor apigee.googleapis.com/DeveloperAppAttribute Entradas de chave-valor (escopo de proxy da API) apigee.googleapis.com/KeyValueEntry Planos de taxas apigee.googleapis.com/RatePlan SharedFlow apigee.googleapis.com/SharedFlow Revisão do SharedFlow apigee.googleapis.com/SharedFlowRevision
Examples
A tabela lista algumas condições de recursos de amostra e as permissões correspondentes:
| Condição | Descrição |
|---|---|
resource.name.startsWith("organizations/{org-name}/apis/catalog-") || resource.type == "cloudresourcemanager.googleapis.com/Project"
|
Essa condição fornece as seguintes permissões:
|
(resource.name.startsWith("organizations/{org-name}/apis/catalog-proxy/keyvaluemaps") &&
resource.type == "apigee.googleapis.com/KeyValueMap") || resource.type == "cloudresourcemanager.googleapis.com/Project" |
Essa condição fornece permissões para as operações Get, Create, Update e Delete
no KeyValueMaps no proxy de API catalog-proxy. |
resource.type == "apigee.googleapis.com/Proxy" || resource.type == "cloudresourcemanager.googleapis.com/Project" |
Essa condição fornece permissões para as operações List, Get, Create, Update e Delete em todos os proxies de API. |
A seguir
Analise as seguintes informações na documentação do IAM:
- Como adicionar uma vinculação de papel condicional a uma política
- Modificar uma vinculação de papel condicional existente
- Como remover uma vinculação de papel condicional