指派角色

您正在查看 Apigee Edge 說明文件。
查看 Apigee X 說明文件
資訊

本主題將討論 Apigee Edge 機構的角色型存取權控管,並說明如何建立角色並指派使用者。您必須是機構管理員,才能執行此處所述的工作。

影片:請觀看短片,瞭解 Apigee Edge 的內建角色和自訂角色。

什麼是角色?

角色基本上是以 CRUD 為基礎的權限集。CRUD 是指「建立、讀取、更新、刪除」。舉例來說,使用者可能獲得特定角色,允許她讀取或「取得」受保護實體的詳細資訊,但無權更新或刪除該實體。機構管理員是最高層級的角色,有權對受保護的實體執行任何作業,包括:

  • API Proxy
  • 追蹤工作階段
  • API 產品
  • 開發人員應用程式
  • 開發人員
  • 環境 (追蹤工具工作階段和部署作業)
  • 自訂報表 (Analytics (分析))

開始使用

您必須是 Apigee Edge 機構管理員,才能建立使用者及指派角色。只有機構管理員可以查看及使用選單項目來管理使用者和角色。另請參閱管理機構使用者

使用者角色須知

在 Apigee Edge 中,使用者角色是以角色為基礎的存取權為基礎,也就是說,您可以藉由指派角色 (或角色) 給使用者,控管對方可存取的功能。以下是一些關於角色的須知事項:

  • 在您建立自己的 Apigee Edge 帳戶時,您的角色會自動設為貴機構中的機構管理員。將使用者加到機構之後,您可以在新增使用者時設定使用者角色 (或角色)。
  • 機構管理員將「您」新增至機構時,管理員會決定您的角色 (或角色)。日後如有必要,機構管理員可以變更您的角色。請參閱下方的指派角色給使用者
  • 可以將多個角色指派給使用者。如果使用者獲派多個角色,優先順序越高。舉例來說,如果其中一個角色禁止使用者建立 API Proxy,但另一個角色可以建立,則使用者可以建立 API Proxy。一般來說,要為使用者指派多個角色,這通常不是很常見的用途。請參閱下方的「指派角色給使用者」一節。
  • 根據預設,與機構相關聯的所有使用者都能查看其他機構使用者的詳細資料,例如電子郵件地址、名字和姓氏。

請特別注意,使用者角色專屬於指派所屬機構。Apigee Edge 使用者可以屬於多個機構,但角色為特定機構。舉例來說,使用者可以擁有某個機構中的機構管理員角色,而不能是另一個機構中的使用者角色。

指派角色給使用者

新增使用者編輯現有使用者時,您可以為使用者新增一或多個角色。如需每個角色的詳細資料,請參閱「預設角色權限」。

透過 Edge API 指派角色給使用者

您可以使用 Edge API 為使用者指派角色。以下範例使用將使用者新增至角色 API,將使用者新增至作業管理員角色:

curl https://api.enterprise.apigee.com/v1/o/org_name/userroles/opsadmin/users \
    -X POST \
    -H "Content-Type:application/x-www-form-urlencoded" \
    -d 'id=jdoe@example.com'
    -u orgAdminEmail:pword

其中 org_name 是貴機構的名稱。

預設角色權限

Apigee Edge 提供一組立即可用的預設角色。詳情請參閱「Edge 內建角色」。

如果您是機構管理員

機構管理員可以查看每種使用者的完整權限清單。只要前往「管理員」>「機構角色」即可。點選角色之後,系統會將您導向如下的資料表:

表格會顯示資源的保護等級。在這種情況下,資源是指使用者透過 Edge 管理 UI「和」API 進行互動的「實體」。

  • 第一欄會列出使用者互動的一般資源名稱。還包括 API Proxy、產品和部署作業等。這欄反映了您在管理 UI 中看到的內容名稱。
  • 第二欄列出透過 Management API 存取資源的路徑
  • 第三欄列出角色可對每個資源和路徑執行的作業。作業包含 GET、PUT 和 DELETE。在 UI 中,這些作業稱為「檢視」、「編輯」和「刪除」。不過請注意,UI 和 API 會針對這些作業使用不同的條款。

如果您不是機構管理員

您無法新增或變更使用者的角色,也無法查看使用者介面中的角色屬性。 如要瞭解每個角色所授予的權限,請參閱「內建邊緣角色」一文。

角色作業

您可以透過管理 API 或管理 UI 指派角色。無論採用哪種方式,您都使用 CRUD 權限,不過 API 和 UI 使用的術語略有不同。

Edge 管理 API 支援下列 CRUD 作業:

  • GET: 可讓使用者查看受保護的資源清單或查看單例模式 RBAC 資源
  • PUT: 可讓使用者建立或更新受保護的資源 (同時包含 PUTPOST HTTP 方法)
  • DELETE: 可讓使用者刪除受保護資源的執行個體。

Edge 管理 UI 參照相同的 CRUD 作業,但用語不同:

  • 「檢視」:可讓使用者查看受保護的資源。一般而言,您可以一次查看一個資源,或是查看資源清單。
  • 編輯:可讓使用者更新受保護的資源。
  • 建立:允許使用者建立受保護的資源。
  • 刪除: 讓使用者可以刪除受保護資源的執行個體。

建立自訂角色

自訂角色可讓您精細地為這些 Apigee Edge 實體 (例如 API Proxy、產品、開發人員應用程式、開發人員和自訂報表) 套用精細的權限。

您可以透過 UI 或 API 建立及設定自訂角色。請參閱「在 UI 中建立自訂角色」和「使用 API 建立角色」。