您正在查看的是 Apigee Edge 文档。
转到 Apigee X 文档。 信息
本主题讨论如何创建自定义角色并通过 Management API 将角色分配给用户。我们还展示了如何通过 API 测试角色分配。(如需大致了解自定义角色,请参阅在界面中创建自定义角色。)
权限设置简介
角色权限是针对 Management API URI(而不是管理界面 URI)设置的。例如,如果您要对 Edge 组织中的应用开发者实体设置 PUT、GET 和/或 DELETE 权限,则需要对 /developers 资源设置权限,因为 developers 的 Management API 路径为 https://api.enterprise.apigee.com/v1/organizations/{org_name}/developers。
(定义权限时,您不需要包含路径的组织部分,因为权限的范围限定为特定的组织,如本主题中的 Management API 调用所示。)
您还可以设置针对特定实体的权限。例如:
- 如果您想针对单个开发者设置权限,请在
/developers/steve@example.com上设置权限 - 对于特定的 API 产品(例如 free-api-product),请在
/apiproducts/free-api-product上设置 - 对于特定环境中的键值对映射,您需要为测试环境中的所有键值对映射设置对
/environments/test/keyvaluemaps/fooMap或/environments/test/keyvaluemaps/*等内容的权限。
您使用 API 设置的权限:
- 允许拥有自定义角色的用户根据其权限进行管理 API 调用。例如,如果某个角色允许对所有 API 代理进行只读访问,则该角色的用户可以使用 List API 代理 API,但不能使用创建 API 代理 API。
- 确定拥有自定义角色的用户可在管理界面中查看和执行哪些操作。例如,如果对 API 代理拥有只读权限,用户就无法访问“API 代理”页面上的“+API 代理”和“删除”按钮。
如需查看您可设置权限的资源和路径,请查看 Management API 参考文档中的不同资源网址。
如需查看角色管理的完整参考信息,请参阅用户角色 API。
语法和优先级
您可以在权限设置中使用星号通配符 (*) 表示“后面的所有内容”。 但是,如果您仅对父级资源(如对 /developers)设置权限,而没有设置任何更具体的权限(如 /developers/*),则该权限将应用于 /developers 及之后的所有内容。
PUT 在权限中也充当 POST。
您可以为资源混合使用一般权限和更精细的权限。权限重叠时,越精细的设置越优先。例如,假设“developeradmin”角色设置了以下权限:
- 在 /developers 上执行 PUT 操作
- 在 /developers/* 上获取
这意味着,开发者管理员可以:
- 创建开发者,但不更新任何特定开发者或任何子实体(因为该路径具有更具体的 GET 权限)。
- 获取任何开发者或子实体,但无法获取所有开发者的列表。
如需查看可使用该 API 设置的权限的完整列表,请参阅权限参考文档。
创建一个名为“development”的新自定义角色
创建“开发”角色,使开发者能够查看、创建和更新 API 代理。
$ curl -u email:password https://api.enterprise.apigee.com/v1/o/{org_name}/userroles -H "Content-type:application/json" -X POST -d'{ "role" : [ { "name" : "development" } ] }'
为开发角色添加权限
可以为整组 Edge 工件(例如所有 /apps、/apis、/apiproducts 等)以及各个工件(例如特定应用、API 代理或 API 产品)设置的权限包括 GET、PUT 和 DELETE。
GET 让用户能够查看任何 API,包括 API 代理配置文件、相关政策、JavaScript、XSLT 文件等。借助 API 的 PUT 权限,开发者可以创建、修改、导入、导出、部署或取消部署 API 代理。
path 属性指定您在其中设置权限的工件。例如,/applications、/apps、/apiproducts、/developers 或 /reports。
curl -u email:password https://api.enterprise.apigee.com/v1/o/{org_name}/userroles/development/permissions -H "Content-type:application/json" -X POST -d'{"path" : "/applications","permissions" : [ "put", "get" ]}'
创建角色:测试
创建“测试”角色,使质量工程师能够查看 API 代理及其内容(例如,政策)。
$ curl -u email:password https://api.enterprise.apigee.com/v1/o/{org_name}/userroles -H "Content-type:application/json" -X POST -d'{ "role" : [ { "name" : "testing" } ] }'
为测试角色添加权限
GET 让用户能够查看任何 API,包括其配置文件以及所有相关政策、JavaScript、XSLT 文件等。通过将此权限添加到“测试”角色,我们可以让质量工程师查看他们正在测试的 API 的内容。但是,此角色的用户将无法创建、修改、导入、导出、部署或取消部署 API 代理。
$ curl -u email:password https://api.enterprise.apigee.com/v1/o/{org_name}/userroles/testing/permissions -H "Content-type:application/json" -X POST -d'{"path" : "/applications","permissions" : [ "get" ]}'
对于 Edge 的本地安装,若要允许用户登录 Edge 界面,必须至少设置以下一组权限:
{"path" : "/","permissions" : [ "get" ]}
{"path" : "/*","permissions" : [ ]}
{"path" : "/environments","permissions" : [ "get" ]}
{"path" : "/userroles","permissions" : [ "get" ]}
使用以下 c网址 命令设置这些权限:
curl -H "Content-Type:application/json" -u email:password \
-X POST \
http://<ms-IP>:8080/v1/organizations/{org_name}/userroles/testing/resourcepermissions \
-d '{
"resourcePermission" : [
{
"path" : "/",
"permissions" : [ "get" ]
},
{
"path" : "/*",
"permissions" : []
},
{
"path" : "/environments",
"permissions" : [ "get" ]
},
{
"path" : "/userroles",
"permissions" : [ "get"]
}
]
}'
其中 <ms-IP> 是边缘管理服务器的 IP 地址或 DNS 名称。
将用户添加到测试角色
要为用户配置用户角色,请执行以下操作:
$ curl -u email:password https://api.enterprise.apigee.com/v1/o/{org_name}/users/justauser@apigee.com/userroles -H "Content-type:application/json" -X POST -d'{"role" : [ {"name" : "testing"} ] }'
以用户身份查看 API
模拟用户并向 API 服务发出请求以查看 API 代理。用户应该能够查看 API 及其内容。
$ curl -u justauser@apigee.com:secret https://api.enterprise.apigee.com/v1/o/{org_name}/apis
$ curl -u justauser@apigee.com:secret https://api.enterprise.apigee.com/v1/o/{org_name}/apis/{api_name}/policies
以测试角色的身份创建 API
模拟用户并向 API 服务发出请求,以创建 API 代理。该请求将被 API 服务拒绝,因为“testing”角色不允许用户创建 API。
$ curl -u justauser@apigee.com:secret -H "Content-Type: application/json" https://api.enterprise.apigee.com/v1/o/{org_name}/apis -X POST -d'{"name" : "rbacTestApi"}'
将用户添加到开发角色
现在为用户预配“development”角色。
$ curl -u email:password https://api.enterprise.apigee.com/v1/o/{org_name}/users/justauser@apigee.com/userroles -H "Content-type:application/json" -X POST -d'{"role" : [ {"name" : "development"} ] }'
以开发角色中的用户身份创建 API
模拟用户并向 API 平台重复请求以创建 API 代理。请求会成功,因为“development”角色允许用户创建 API。
$ curl -u justauser@apigee.com:secret -H "Content-Type: application/json" https://api.enterprise.apigee.com/v1/o/{org_name}/apis -X POST -d'{"name" : "rbacTestApi"}'
获取用户的用户角色
作为组织管理员,您可以随时查看某个用户(所有组织中的)用户角色列表:
$ curl -u email:password -X GET https://api.enterprise.apigee.com/v1/users/justauser@apigee.com/userroles