Esta página se aplica a Apigee y Apigee Hybrid.
Consulta la documentación de
Apigee Edge.
En esta página se describe cómo añadir condiciones de gestión de identidades y accesos a los recursos de Apigee. Una condición de gestión de identidades y accesos te permite controlar de forma granular tus recursos de Apigee.
Antes de empezar
Apigee usa la gestión de identidades y accesos (IAM) de Google Cloud para gestionar los roles y los permisos de los recursos de Apigee. Por lo tanto, antes de especificar o modificar condiciones en la gestión de identidades y accesos para tus recursos de Apigee, familiarízate con los siguientes conceptos de gestión de identidades y accesos:
Añadir condiciones de gestión de identidades y accesos
Para añadir una condición de gestión de identidades y accesos a un recurso de Apigee, necesitas la siguiente información:
- URI de recurso con nombre: cada recurso de Apigee tiene un URI de recurso único. Por ejemplo, el URI del recurso de productos de API es
organizations/{org}/apiproducts/{apiproduct}. Para ver la lista completa de todos los URIs disponibles, consulta Recursos REST de Apigee. Para controlar los permisos de acceso de un recurso de forma granular, debes asignar un nombre al recurso siguiendo una convención de nomenclatura. En función de tus requisitos, puedes decidir qué convención de nomenclatura quieres seguir. Por ejemplo, puede añadir el prefijomarketinga la palabra para todos los productos de la API que sean propiedad del equipo de marketing. En este ejemplo, el URI de recurso de los productos de API del equipo de marketing empezará pororganizations/{org}/apiproducts/marketing-. - Permisos solo para padres: comprueba si un recurso o alguno de sus recursos secundarios requieren el permiso solo para padres. Para obtener más información, consulta Permisos solo para padres.
- Tipo de recurso: puedes acotar aún más el ámbito de los recursos filtrando por un tipo de recurso en la condición. Apigee admite condiciones para los siguientes recursos:
Nombre del recurso Tipo de recurso proxy de API apigee.googleapis.com/Proxy Revisión de proxy de API apigee.googleapis.com/ProxyRevision Mapa de pares clave-valor de un proxy de API apigee.googleapis.com/KeyValueMap Producto de API apigee.googleapis.com/ApiProduct Atributos de producto de API apigee.googleapis.com/ApiProductAttribute Desarrollador apigee.googleapis.com/Developer Atributos de desarrollador apigee.googleapis.com/DeveloperAttribute Aplicación para desarrolladores apigee.googleapis.com/DeveloperApp Atributos de aplicación de desarrollador apigee.googleapis.com/DeveloperAppAttribute Entradas de valor de clave (ámbito del proxy de API) apigee.googleapis.com/KeyValueEntry Plan de tarifas apigee.googleapis.com/RatePlan SharedFlow apigee.googleapis.com/SharedFlow Revisión de SharedFlow apigee.googleapis.com/SharedFlowRevision
Ejemplos
En la tabla se muestran algunas condiciones de recursos de ejemplo y los permisos correspondientes:
| Condición | Descripción |
|---|---|
resource.name.startsWith("organizations/{org-name}/apis/catalog-") || resource.type == "cloudresourcemanager.googleapis.com/Project"
|
Esta condición proporciona los siguientes permisos:
|
(resource.name.startsWith("organizations/{org-name}/apis/catalog-proxy/keyvaluemaps") &&
resource.type == "apigee.googleapis.com/KeyValueMap") || resource.type == "cloudresourcemanager.googleapis.com/Project" |
Esta condición proporciona permisos para las operaciones Get, Create, Update y Delete en KeyValueMaps en el proxy de API catalog-proxy. |
resource.type == "apigee.googleapis.com/Proxy" || resource.type == "cloudresourcemanager.googleapis.com/Project" |
Esta condición proporciona permisos para las operaciones List, Get, Create, Update y Delete en todos los proxies de API. |
Siguientes pasos
Consulta la siguiente información de la documentación de gestión de identidades y accesos:
- Añadir una vinculación de roles condicional a una política
- Modificar una vinculación de rol condicional
- Eliminar una vinculación de roles condicional