分配角色

<ph type="x-smartling-placeholder"></ph> 您正在查看 Apigee Edge 文档。
转到 Apigee X 文档
信息

本主题讨论了 Apigee Edge 组织的基于角色的访问权限控制,并说明了如何 创建角色并为这些角色分配用户。您必须是组织管理员才能执行此处所述的任务。

视频:观看简短视频,了解 Apigee Edge 的内置和自定义功能 角色。

什么是角色?

角色本质上是基于 CRUD 的权限集。CRUD 是指“创建、读取、更新、删除”。例如,用户可能会获得一个角色,可让其读取或“获取”有关受保护的实体的详细信息,但不能获得更新或删除该实体的权限。组织管理员是最高级别的角色,并且有权对受保护的实体执行任何操作,包括:

  • API 代理
  • Trace 会话
  • API 产品
  • 开发者应用
  • 开发者
  • 环境(Trace 工具会话和部署)
  • 自定义报告(Analytics)

使用入门

您必须是 Apigee Edge 组织管理员才能创建用户并分配角色。只有组织管理员才能查看并使用菜单项来管理用户和角色。另请参阅管理组织用户

有关用户角色的注意事项

在 Apigee Edge 中,用户角色构成了基于角色的访问权限,这意味着您可以控制 让用户能够访问哪些职能。关于角色,您需要注意以下几点:

  • 当您创建自己的 Apigee Edge 账号时,您的角色会自动设置为 组织管理员。如果要将用户添加到您的组织,则您可以在添加用户角色(或多个角色)时设置它们。
  • 当组织管理员将添加到组织时,您的角色(一个或多个)就确定了 由管理员管理如果有必要,组织管理员可稍后更改您的角色。请参阅下文的向用户分配角色
  • 您可以为用户分配多个角色。如果用户分配了多个角色,则较大权限优先。例如,如果某个角色不允许用户创建 API 代理,但另一个角色允许创建 API 代理,则用户可以创建 API 代理。通常,为用户分配多个角色不是一种常见用例。请参阅下文的向用户分配角色
  • 默认情况下,与组织关联的所有用户都可以查看其他组织用户的详细信息,例如电子邮件地址、名字和姓氏。

请务必注意,用户角色特定于其分配到的组织。Apigee Edge 用户可以属于多个组织,但其角色 。例如,用户可以在某一个组织部门中 另一个组织中的用户角色。

给用户分配角色

您可以在添加新用户修改现有用户时,向用户添加一个或多个角色。如需详细了解每个角色,请参阅默认角色权限

通过以下角色为用户分配角色: Edge API

您可以使用 Edge API 为用户分配角色。以下示例使用将用户添加到角色 API 来将用户添加到 Operations 管理员角色:

curl https://api.enterprise.apigee.com/v1/o/org_name/userroles/opsadmin/users \
    -X POST \
    -H "Content-Type:application/x-www-form-urlencoded" \
    -d 'id=jdoe@example.com'
    -u orgAdminEmail:pword

其中 org_name 是您的组织的名称。

默认角色权限

Apigee Edge 提供了一组开箱即用的默认角色。如需了解详情,请参阅 Edge 内置角色

如果您是组织管理员

组织管理员可以查看各种类型的用户的完整权限列表。只需依次转到管理 > 组织角色即可。点击某个角色后,系统会将您转到类似于以下内容的表:

下表显示了资源保护的级别。在这种情况下 资源是指“实体”用户可以通过 Edge 管理界面与之互动 API。

  • 第一列列出了用户与之互动的常规资源名称。它还包含一些其他内容,如 API 代理、产品、部署等。此列反映了您在管理界面中看到的内容的名称。
  • 第二列列出了用于通过 Management API。
  • 第三列列出了每个资源和路径上角色可以执行的操作。这些操作包括 GET、PUT 和 DELETE。在界面中,这些相同操作被称为查看、修改和删除。请记住,界面和 API 使用这些操作的不同条款。

如果您不是组织管理员

您不得添加或更改用户的角色,也无法在界面中查看角色属性。如需了解更多详情,请参阅 Edge 内置角色 了解向每个角色授予的权限的相关信息

角色操作

您可以通过管理 API 或管理界面分配角色。无论采用哪种方式,您都使用 CRUD 权限,但 API 和界面使用的术语略有不同。

Edge 管理 API 允许以下 CRUD 操作:

  • GET: 允许用户查看受保护的资源列表或查看单例 RBAC 资源
  • PUT: 允许用户创建或更新受保护的资源(同时传入 PUTPOST HTTP 方法)
  • DELETE: 允许用户删除受保护的资源实例。

Edge 管理界面引用相同的 CRUD 操作,但 措辞不同:

  • 查看:允许用户查看受保护的资源。通常,您可以一次查看一个资源,也可以查看资源列表。
  • 修改:允许用户更新受保护的资源。
  • 创建:允许用户创建受保护的资源。
  • 删除:允许用户删除受保护的资源实例。

创建自定义角色

自定义角色可让您对这些 Apigee Edge 实体(例如 API)应用精细的权限 指标、产品、开发者应用、开发者和自定义报告。

您可以通过界面或使用 API 创建和配置自定义角色。请参阅在界面中创建自定义角色使用 API 创建角色