本頁面由 Cloud Translation API 翻譯而成。

使用 API 建立角色

您正在查看 Apigee Edge 說明文件。
前往 Apigee X說明文件。資訊

本主題將說明如何建立自訂角色，以及如何透過 Management API我們也會示範如何透過 API 測試角色指派作業。(如要瞭解自訂角色的概略說明，請參閱「在使用者介面中建立自訂角色」一文)。

關於權限設定

可在 Management API URI (而非管理 UI URI) 上設定角色權限。舉例來說，如果您想為 Edge 組織中的應用程式開發人員實體設定 PUT、GET 和/或 DELETE 權限，就會為 /developers 資源設定權限，因為開發人員的管理 API 路徑為 https://api.enterprise.apigee.com/v1/organizations/{org_name}/developers。(定義權限時，您不需要加入路徑的機構部分，因為權限的範圍是特定機構，如本主題中的管理 API 呼叫所示)。

您也可以為特定實體設定權限。例如：

如果您想針對單一開發人員設定權限，請在 /developers/steve@example.com 上設定權限
請為特定 API 產品 (例如 free-api-product) 進行設定「/apiproducts/free-api-product」中
針對特定環境中的鍵/值對應，您可以為 /environments/test/keyvaluemaps/fooMap 或 /environments/test/keyvaluemaps/* 設定權限，以便測試環境中的所有鍵/值對應。

，瞭解如何調查及移除這項存取權。

您使用 API 設定的權限：

允許自訂角色中的使用者根據其權限發出管理 API 呼叫。例如，如果角色允許唯讀存取權至所有 API Proxy，這個角色的使用者可以使用 List API Proxy API，但無法使用建立 API Proxy API。
決定自訂角色中的使用者能在管理 UI 中查看和執行的操作。舉例來說，如果 API Proxy 的存取權為唯讀，就無法存取 API Proxy 頁面上的「+API Proxy」和「Delete」按鈕。

如要查看可設定權限的資源和路徑，請參閱不同資源網址的管理 API 參考資料。

如需角色管理的完整參考資訊，請參閱使用者角色 API。

語法和優先順序

您可以使用星號萬用字元 (*) 表示「後方的所有內容」都指定在權限設定中不過，如果您只針對父項資源 (例如 /developers) 設定權限，而沒有設定任何更具體的權限 (例如 /developers/*) 所有資訊都由 /developers 和後續開發人員提供

PUT 也會做為 POST 權限。

您可以為資源設定一般權限和更精細的權限。在權限重疊的情況下，較精細的設定會優先採用。舉例來說，假設權限會在「developeradmin」上設定角色：

在 /developers 上執行 PUT
/developers/* 上的 GET

也就是說，開發人員管理員可以：

建立開發人員，但不更新任何特定開發人員或任何子實體 (因為該路徑具有更明確的 GET 權限)。
取得任何開發人員或子實體，但看不到所有開發人員的清單。

如要查看可透過 API 設定的完整權限清單，請參閱權限參考資料。

建立名為「development」的新自訂角色

建立「開發」角色，讓開發人員查看、建立及更新 API Proxy。

$ curl -u email:password https://api.enterprise.apigee.com/v1/o/{org_name}/userroles -H "Content-type:application/json" -X POST -d'{ "role" : [ { "name" : "development" } ] }'

為開發人員角色新增權限

可對整個 Edge 構件群組設定的權限，例如所有 /應用程式、 /apis、/apiproducts 等) 以及個別構件 (例如特定應用程式、API Proxy 或 API 產品) 為 GET、PUT 和 DELETE。

GET 可讓使用者查看與 API Proxy 設定檔相關聯的任何 API，包括 API Proxy 設定檔政策、JavaScript、XSLT 檔案等透過 API 的 PUT 權限，開發人員可以建立、修改、匯入、匯出、部署及取消部署 API Proxy。

路徑屬性會指定您在哪個構件設定權限。例如： /applications、/apps、/apiproducts、/developers 或 /reports。

curl -u email:password https://api.enterprise.apigee.com/v1/o/{org_name}/userroles/development/permissions -H "Content-type:application/json" -X POST -d'{"path" : "/applications","permissions" : [ "put", "get" ]}'

注意：所有 Proxy 的角色資源路徑為 /applications，而特定 API Proxy 的角色資源路徑為 /applications/<proxy_name>。

建立角色：測試

建立「測試」角色，讓品質工程師能夠查看 API Proxy 及其內容 (例如政策)。

$ curl -u email:password https://api.enterprise.apigee.com/v1/o/{org_name}/userroles -H "Content-type:application/json" -X POST -d'{ "role" : [ { "name" : "testing" } ] }'

新增測試角色權限

GET 可讓使用者查看任何 API，包括設定檔和任何 API 以及相關政策、JavaScript、XSLT 檔案等將這項權限新增至「測試」角色，可讓品質工程師查看所測試 API 的內容。但是，這個角色的使用者無法建立、修改、匯入、匯出、部署以及取消部署 API Proxy

$ curl -u email:password https://api.enterprise.apigee.com/v1/o/{org_name}/userroles/testing/permissions -H "Content-type:application/json" -X POST -d'{"path" : "/applications","permissions" : [ "get" ]}'

如要在地端部署環境中安裝 Edge，其最低權限必須設為可讓使用者登入 Edge UI：

{"path" : "/","permissions" : [ "get" ]}
{"path" : "/*","permissions" : [ ]}
{"path" : "/environments","permissions" : [ "get" ]}
{"path" : "/userroles","permissions" : [ "get" ]}

請使用下列 cURL 指令設定這些權限：

curl -H "Content-Type:application/json" -u email:password \
-X POST \
http://<ms-IP>:8080/v1/organizations/{org_name}/userroles/testing/resourcepermissions  \
-d '{
 "resourcePermission" : [ 
   {
    "path" : "/",
    "permissions" : [ "get" ]
   }, 
{
    "path" : "/*",
    "permissions" : []
   },
{
    "path" : "/environments",
    "permissions" : [ "get" ]
   },
   {
    "path" : "/userroles",
    "permissions" : [ "get"]
   }
  ]
}'

其中 <ms-IP> 是 Edge Management Server 的 IP 位址或 DNS 名稱。

將使用者新增至測試角色

如要為使用者配置使用者角色，請按照下列步驟操作：

$ curl -u email:password https://api.enterprise.apigee.com/v1/o/{org_name}/users/justauser@apigee.com/userroles -H "Content-type:application/json" -X POST -d'{"role" : [ {"name" : "testing"} ] }'

以使用者身分查看 API

模擬使用者身分，並向 API 發出要求可查看 API Proxy 的服務。使用者應能查看 API 及其內容。

$ curl -u justauser@apigee.com:secret https://api.enterprise.apigee.com/v1/o/{org_name}/apis

$ curl -u justauser@apigee.com:secret https://api.enterprise.apigee.com/v1/o/{org_name}/apis/{api_name}/policies

以測試角色的使用者身分建立 API

模擬使用者身分，並要求 API 服務建立 API Proxy。要求都會遭到 API 服務拒絕 (「測試」角色)不允許使用者建立相互整合

$ curl -u justauser@apigee.com:secret -H "Content-Type: application/json" https://api.enterprise.apigee.com/v1/o/{org_name}/apis -X POST -d'{"name" : "rbacTestApi"}'

將使用者新增至開發人員角色

現在使用「development」佈建使用者角色。

$ curl -u email:password https://api.enterprise.apigee.com/v1/o/{org_name}/users/justauser@apigee.com/userroles -H "Content-type:application/json" -X POST -d'{"role" : [ {"name" : "development"} ] }'

以開發人員角色建立 API

模擬使用者，然後重複向 API 平台發出要求，以建立 API Proxy。由於「development」角色允許使用者建立 API，因此要求會成功。

$ curl -u justauser@apigee.com:secret -H "Content-Type: application/json" https://api.enterprise.apigee.com/v1/o/{org_name}/apis -X POST -d'{"name" : "rbacTestApi"}'

取得使用者的使用者角色

機構管理員可以隨時查看使用者 (跨所有機構) 的使用者角色清單：

$ curl -u email:password -X GET https://api.enterprise.apigee.com/v1/users/justauser@apigee.com/userroles