您正在查看 Apigee Edge 說明文件。
查看 Apigee X 說明文件。 資訊
本主題將討論 Apigee Edge 機構的角色型存取權控管,並說明如何建立角色並指派使用者。您必須是機構管理員,才能執行此處所述的工作。
影片:請觀看短片,瞭解 Apigee Edge 的內建角色和自訂角色。
什麼是角色?
角色基本上是以 CRUD 為基礎的權限集。CRUD 是指「建立、讀取、更新、刪除」。舉例來說,使用者可能獲得特定角色,允許她讀取或「取得」受保護實體的詳細資訊,但無權更新或刪除該實體。機構管理員是最高層級的角色,有權對受保護的實體執行任何作業,包括:
- API Proxy
- 追蹤工作階段
- API 產品
- 開發人員應用程式
- 開發人員
- 環境 (追蹤工具工作階段和部署作業)
- 自訂報表 (Analytics (分析))
開始使用
您必須是 Apigee Edge 機構管理員,才能建立使用者及指派角色。只有機構管理員可以查看及使用選單項目來管理使用者和角色。另請參閱管理機構使用者。
使用者角色須知
在 Apigee Edge 中,使用者角色是以角色為基礎的存取權為基礎,也就是說,您可以藉由指派角色 (或角色) 給使用者,控管對方可存取的功能。以下是一些關於角色的須知事項:
- 在您建立自己的 Apigee Edge 帳戶時,您的角色會自動設為貴機構中的機構管理員。將使用者加到機構之後,您可以在新增使用者時設定使用者角色 (或角色)。
- 機構管理員將「您」新增至機構時,管理員會決定您的角色 (或角色)。日後如有必要,機構管理員可以變更您的角色。請參閱下方的指派角色給使用者。
- 可以將多個角色指派給使用者。如果使用者獲派多個角色,優先順序越高。舉例來說,如果其中一個角色禁止使用者建立 API Proxy,但另一個角色可以建立,則使用者可以建立 API Proxy。一般來說,要為使用者指派多個角色,這通常不是很常見的用途。請參閱下方的「指派角色給使用者」一節。
- 根據預設,與機構相關聯的所有使用者都能查看其他機構使用者的詳細資料,例如電子郵件地址、名字和姓氏。
請特別注意,使用者角色專屬於指派所屬機構。Apigee Edge 使用者可以屬於多個機構,但角色為特定機構。舉例來說,使用者可以擁有某個機構中的機構管理員角色,而不能是另一個機構中的使用者角色。
指派角色給使用者
新增使用者或編輯現有使用者時,您可以為使用者新增一或多個角色。如需每個角色的詳細資料,請參閱「預設角色權限」。
透過 Edge API 指派角色給使用者
您可以使用 Edge API 為使用者指派角色。以下範例使用將使用者新增至角色 API,將使用者新增至作業管理員角色:
curl https://api.enterprise.apigee.com/v1/o/org_name/userroles/opsadmin/users \ -X POST \ -H "Content-Type:application/x-www-form-urlencoded" \ -d 'id=jdoe@example.com' -u orgAdminEmail:pword
其中 org_name 是貴機構的名稱。
預設角色權限
Apigee Edge 提供一組立即可用的預設角色。詳情請參閱「Edge 內建角色」。
如果您是機構管理員
機構管理員可以查看每種使用者的完整權限清單。只要前往「管理員」>「機構角色」即可。點選角色之後,系統會將您導向如下的資料表:
表格會顯示資源的保護等級。在這種情況下,資源是指使用者透過 Edge 管理 UI「和」API 進行互動的「實體」。
- 第一欄會列出使用者互動的一般資源名稱。還包括 API Proxy、產品和部署作業等。這欄反映了您在管理 UI 中看到的內容名稱。
- 第二欄列出透過 Management API 存取資源的路徑。
- 第三欄列出角色可對每個資源和路徑執行的作業。作業包含 GET、PUT 和 DELETE。在 UI 中,這些作業稱為「檢視」、「編輯」和「刪除」。不過請注意,UI 和 API 會針對這些作業使用不同的條款。
如果您不是機構管理員
您無法新增或變更使用者的角色,也無法查看使用者介面中的角色屬性。 如要瞭解每個角色所授予的權限,請參閱「內建邊緣角色」一文。
角色作業
您可以透過管理 API 或管理 UI 指派角色。無論採用哪種方式,您都使用 CRUD 權限,不過 API 和 UI 使用的術語略有不同。
Edge 管理 API 支援下列 CRUD 作業:
GET:
可讓使用者查看受保護的資源清單或查看單例模式 RBAC 資源PUT:
可讓使用者建立或更新受保護的資源 (同時包含PUT
和POST
HTTP 方法)DELETE:
可讓使用者刪除受保護資源的執行個體。
Edge 管理 UI 參照相同的 CRUD 作業,但用語不同:
- 「檢視」:可讓使用者查看受保護的資源。一般而言,您可以一次查看一個資源,或是查看資源清單。
- 編輯:可讓使用者更新受保護的資源。
- 建立:允許使用者建立受保護的資源。
- 刪除: 讓使用者可以刪除受保護資源的執行個體。
建立自訂角色
自訂角色可讓您精細地為這些 Apigee Edge 實體 (例如 API Proxy、產品、開發人員應用程式、開發人員和自訂報表) 套用精細的權限。
您可以透過 UI 或 API 建立及設定自訂角色。請參閱「在 UI 中建立自訂角色」和「使用 API 建立角色」。