Questa pagina si applica ad Apigee e Apigee hybrid.
Visualizza la documentazione di
Apigee Edge.
Questa pagina descrive come aggiungere le condizioni IAM alle risorse Apigee. Una condizione IAM ti consente di avere un controllo granulare sulle tue risorse Apigee.
Prima di iniziare
Apigee utilizza Identity and Access Management (IAM) di Google Cloud per gestire ruoli e autorizzazioni per le risorse di Apigee. Pertanto, prima di specificare o modificare le condizioni in IAM per le risorse Apigee, acquisisci familiarità con i seguenti concetti di IAM:
- Risorsa
- Gerarchia delle risorse
- Ruoli
- Ruoli personalizzati
- Autorizzazioni
- Autorizzazioni solo per i genitori
Aggiunta di condizioni IAM
Per aggiungere una condizione IAM a una risorsa Apigee, sono necessarie le seguenti informazioni:
- URI risorsa denominata: ogni risorsa in Apigee ha un URI risorsa univoco. Ad esempio,
l'URI della risorsa dei prodotti basati su API è
organizations/{org}/apiproducts/{apiproduct}. Per l'elenco completo di tutti gli URI disponibili, consulta Risorse REST di Apigee. Per controllare le autorizzazioni di accesso per una risorsa a un livello granulare, devi denominare la risorsa in base a una convenzione di denominazione. In base ai tuoi requisiti, puoi decidere quale convenzione di denominazione seguire. Ad esempio, puoi aggiungere il prefisso alla parolamarketingper tutti i prodotti API di proprietà del team di marketing. In questo esempio, l'URI della risorsa per i prodotti API del team di marketing inizierà conorganizations/{org}/apiproducts/marketing-. - Autorizzazioni solo per i genitori: controlla se una risorsa o una delle relative risorse figlio richiede l'autorizzazione solo per i genitori. Per ulteriori informazioni, vedi Autorizzazioni solo per i genitori.
- Tipo di risorsa: puoi restringere ulteriormente l'ambito delle risorse filtrando in base a un tipo di risorsa nella condizione. Apigee supporta le condizioni per le seguenti risorse:
Nome risorsa Tipo di risorsa proxy API apigee.googleapis.com/Proxy Revisione del proxy API apigee.googleapis.com/ProxyRevision Mappa chiave-valore del proxy API apigee.googleapis.com/KeyValueMap Prodotto API apigee.googleapis.com/ApiProduct Attributi del prodotto API apigee.googleapis.com/ApiProductAttribute Sviluppatore apigee.googleapis.com/Developer Attributi dello sviluppatore apigee.googleapis.com/DeveloperAttribute App per sviluppatori apigee.googleapis.com/DeveloperApp Attributi app sviluppatore apigee.googleapis.com/DeveloperAppAttribute Voci chiave-valore (ambito del proxy API) apigee.googleapis.com/KeyValueEntry Piano tariffario apigee.googleapis.com/RatePlan SharedFlow apigee.googleapis.com/SharedFlow Revisione SharedFlow apigee.googleapis.com/SharedFlowRevision
Esempi
La tabella elenca alcune condizioni delle risorse di esempio e le autorizzazioni corrispondenti:
| Condizione | Descrizione |
|---|---|
resource.name.startsWith("organizations/{org-name}/apis/catalog-") || resource.type == "cloudresourcemanager.googleapis.com/Project"
|
Questa condizione fornisce le seguenti autorizzazioni:
|
(resource.name.startsWith("organizations/{org-name}/apis/catalog-proxy/keyvaluemaps") &&
resource.type == "apigee.googleapis.com/KeyValueMap") || resource.type == "cloudresourcemanager.googleapis.com/Project" |
Questa condizione fornisce le autorizzazioni per le operazioni Get, Create, Update e Delete
su KeyValueMaps nel proxy API catalog-proxy. |
resource.type == "apigee.googleapis.com/Proxy" || resource.type == "cloudresourcemanager.googleapis.com/Project" |
Questa condizione fornisce le autorizzazioni per le operazioni List, Get, Create, Update e Delete su tutti i proxy API. |
Passaggi successivi
Consulta le seguenti informazioni nella documentazione IAM:
- Aggiunta di un'associazione di ruolo condizionale a una policy
- Modificare un'associazione di ruoli condizionale esistente
- Rimozione di un'associazione di ruolo condizionale