您正在查看 Apigee Edge 說明文件。
前往 Apigee X 說明文件。info
本主題討論 Apigee Edge 機構的角色型存取權控管,並說明做法 建立角色並指派使用者您必須是組織管理員,才能執行本文所述的任務。
影片:觀看這部短片,瞭解 Apigee Edge 內建和自訂角色。
什麼是角色?
角色基本上是以 CRUD 為基礎的權限集。CRUD 是指「建立、讀取、更新、刪除」。 例如,某個使用者可能獲派的角色允許其讀取或「取得」詳細資料 未授權實體,但無法更新或刪除其內容。機構組織管理員是最高層級的角色,擁有對受保護實體執行任何作業的權限,包括:
- API Proxy
- 追蹤工作階段
- API 產品
- 開發人員應用程式
- 開發人員
- 環境 (追蹤工具工作階段和部署)
- 自訂報表 (Analytics)
開始使用
只有 Apigee Edge 機構組織管理員,才能建立使用者及指派角色。只有機構組織管理員可以查看及使用管理使用者和角色的選單項目。另請參閱「管理機構使用者」。
注意事項 使用者角色相關資訊
在 Apigee Edge 中,使用者角色是角色型存取權的基礎,也就是說,您可以指派角色,藉此控管使用者可存取哪些功能。以下列舉幾點 必須先瞭解下列角色
- 建立自己的 Apigee Edge 帳戶時,您的角色會自動設為 機構管理員。如果您將使用者 機構,就可以在新增使用者角色時,設定對方的角色 (或角色)。
- 機構管理員將「您」新增至機構時,系統會決定您的角色 (或角色) 部分。如果貴機構有需要,機構管理員之後可以變更您的角色 無從得知請參閱下方的「將角色指派給使用者」一節。
- 使用者可以同時指派多個角色。如果使用者獲派多個角色, 應優先獲得較高的權限舉例來說,如果一個角色不允許使用者建立 API 代理程式,但另一個角色允許,那麼使用者就能建立 API 代理程式。一般來說 常見的用途是為使用者指派多個角色請參閱指派作業 角色授予使用者
- 根據預設,與機構相關聯的所有使用者都能查看 機構使用者,例如電子郵件地址、名字和姓氏。
請務必瞭解使用者角色專屬於其所屬機構組織 。Apigee Edge 使用者可以同時屬於多個機構,但角色 專屬於機構的舉例來說,單一使用者可以擁有「機構管理員」角色 機構和另一個角色的使用者角色
為使用者指派角色
新增使用者或編輯現有使用者時,您可以為使用者新增一或多個角色。如需每個角色的詳細資料,請參閱預設角色 權限。
將角色指派給具備權限的使用者 Edge API
您可以使用 Edge API 將使用者指派給角色。以下範例使用「Add a user to a role」API,將使用者新增至「作業管理員」角色:
curl https://api.enterprise.apigee.com/v1/o/org_name/userroles/opsadmin/users \ -X POST \ -H "Content-Type:application/x-www-form-urlencoded" \ -d 'id=jdoe@example.com' -u orgAdminEmail:pword
其中 org_name 是貴機構的名稱。
預設角色權限
Apigee Edge 提供一組預設角色,可立即使用。詳情請參閱「Edge 內建角色」。
如果您是機構組織管理員
機構組織管理員可以查看每種類型使用者的完整權限清單。只要前往「管理」>「機構角色」即可。點選角色後,即可前往表格 看起來會像這樣:
表格會顯示資源的保護層級。在這個情況下 使用者可以透過 Edge 管理 UI 進行互動 和 API。
- 第一欄會列出使用者進行互動的一般資源名稱 。以及 API Proxy、產品、部署作業等等其他項目。 欄反映管理 UI 中顯示的項目名稱。
- 第二欄則會列出存取資源時所用的路徑 (透過 Management API
- 第三欄則會列出該角色可對其執行的操作 資源和路徑這些作業為 GET、PUT 和 DELETE。在 UI 中,這些相同的作業 分別是「檢視」、「編輯」和「刪除」請注意,UI 和 API 對這些作業使用不同的用語。
如果您不是機構管理員
您無法新增或變更使用者角色,也無法在 UI 中查看角色屬性。如要瞭解各角色的權限授予方式,請參閱「Edge 內建角色」。
角色作業
您可以透過管理 API 或管理 UI 指派角色。無論是哪種方式 使用 CRUD 權限,但 API 和 UI 的術語略有不同。
Edge 管理 API 允許下列 CRUD 作業:
GET:
允許使用者查看受保護資源清單,或查看單例 RBAC 資源PUT:
可讓使用者建立或更新受保護的資源 (包含PUT
和POST
HTTP 方法)DELETE:
可讓使用者刪除受保護的執行個體 資源。
Edge 管理 UI 會使用不同的字詞來表示相同的 CRUD 作業:
- 檢視:可讓使用者查看受保護的資源。一般而言, 可以一次檢視一個資源,或是查看資源清單。
- 編輯:允許使用者更新受保護的資源。
- 建立:允許使用者建立受保護的資源。
- 刪除:允許使用者刪除受保護資源的例項。
建立自訂角色
自訂角色可讓您為這些 Apigee Edge 實體 (例如 API 代理程式、產品、開發人員應用程式、開發人員和自訂報表) 套用精細的權限。
您可以透過使用者介面或 API 建立及設定自訂角色。請參閱「在使用者介面中建立自訂角色」和「使用 API 建立角色」相關說明。