指派角色

您正在查看 Apigee Edge 說明文件。
前往 Apigee X 說明文件
info

本主題討論 Apigee Edge 機構的角色型存取權控管,並說明做法 建立角色並指派使用者您必須是組織管理員,才能執行本文所述的任務。

影片:觀看這部短片,瞭解 Apigee Edge 內建和自訂角色。

什麼是角色?

角色基本上是以 CRUD 為基礎的權限集。CRUD 是指「建立、讀取、更新、刪除」。 例如,某個使用者可能獲派的角色允許其讀取或「取得」詳細資料 未授權實體,但無法更新或刪除其內容。機構組織管理員是最高層級的角色,擁有對受保護實體執行任何作業的權限,包括:

  • API Proxy
  • 追蹤工作階段
  • API 產品
  • 開發人員應用程式
  • 開發人員
  • 環境 (追蹤工具工作階段和部署)
  • 自訂報表 (Analytics)

開始使用

只有 Apigee Edge 機構組織管理員,才能建立使用者及指派角色。只有機構組織管理員可以查看及使用管理使用者和角色的選單項目。另請參閱「管理機構使用者」。

注意事項 使用者角色相關資訊

在 Apigee Edge 中,使用者角色是角色型存取權的基礎,也就是說,您可以指派角色,藉此控管使用者可存取哪些功能。以下列舉幾點 必須先瞭解下列角色

  • 建立自己的 Apigee Edge 帳戶時,您的角色會自動設為 機構管理員。如果您將使用者 機構,就可以在新增使用者角色時,設定對方的角色 (或角色)。
  • 機構管理員將「您」新增至機構時,系統會決定您的角色 (或角色) 部分。如果貴機構有需要,機構管理員之後可以變更您的角色 無從得知請參閱下方的「將角色指派給使用者」一節。
  • 使用者可以同時指派多個角色。如果使用者獲派多個角色, 應優先獲得較高的權限舉例來說,如果一個角色不允許使用者建立 API 代理程式,但另一個角色允許,那麼使用者就能建立 API 代理程式。一般來說 常見的用途是為使用者指派多個角色請參閱指派作業 角色授予使用者
  • 根據預設,與機構相關聯的所有使用者都能查看 機構使用者,例如電子郵件地址、名字和姓氏。

請務必瞭解使用者角色專屬於其所屬機構組織 。Apigee Edge 使用者可以同時屬於多個機構,但角色 專屬於機構的舉例來說,單一使用者可以擁有「機構管理員」角色 機構和另一個角色的使用者角色

為使用者指派角色

新增使用者編輯現有使用者時,您可以為使用者新增一或多個角色。如需每個角色的詳細資料,請參閱預設角色 權限

將角色指派給具備權限的使用者 Edge API

您可以使用 Edge API 將使用者指派給角色。以下範例使用「Add a user to a role」API,將使用者新增至「作業管理員」角色:

curl https://api.enterprise.apigee.com/v1/o/org_name/userroles/opsadmin/users \
    -X POST \
    -H "Content-Type:application/x-www-form-urlencoded" \
    -d 'id=jdoe@example.com'
    -u orgAdminEmail:pword

其中 org_name 是貴機構的名稱。

預設角色權限

Apigee Edge 提供一組預設角色,可立即使用。詳情請參閱「Edge 內建角色」。

如果您是機構組織管理員

機構組織管理員可以查看每種類型使用者的完整權限清單。只要前往「管理」>「機構角色」即可。點選角色後,即可前往表格 看起來會像這樣:

表格會顯示資源的保護層級。在這個情況下 使用者可以透過 Edge 管理 UI 進行互動 API。

  • 第一欄會列出使用者進行互動的一般資源名稱 。以及 API Proxy、產品、部署作業等等其他項目。 欄反映管理 UI 中顯示的項目名稱。
  • 第二欄則會列出存取資源時所用的路徑 (透過 Management API
  • 第三欄則會列出該角色可對其執行的操作 資源和路徑這些作業為 GET、PUT 和 DELETE。在 UI 中,這些相同的作業 分別是「檢視」、「編輯」和「刪除」請注意,UI 和 API 對這些作業使用不同的用語。

如果您不是機構管理員

您無法新增或變更使用者角色,也無法在 UI 中查看角色屬性。如要瞭解各角色的權限授予方式,請參閱「Edge 內建角色」。

角色作業

您可以透過管理 API 或管理 UI 指派角色。無論是哪種方式 使用 CRUD 權限,但 API 和 UI 的術語略有不同。

Edge 管理 API 允許下列 CRUD 作業:

  • GET: 允許使用者查看受保護資源清單,或查看單例 RBAC 資源
  • PUT: 可讓使用者建立或更新受保護的資源 (包含 PUTPOST HTTP 方法)
  • DELETE: 可讓使用者刪除受保護的執行個體 資源。

Edge 管理 UI 會使用不同的字詞來表示相同的 CRUD 作業:

  • 檢視:可讓使用者查看受保護的資源。一般而言, 可以一次檢視一個資源,或是查看資源清單。
  • 編輯:允許使用者更新受保護的資源。
  • 建立:允許使用者建立受保護的資源。
  • 刪除:允許使用者刪除受保護資源的例項。

建立自訂角色

自訂角色可讓您為這些 Apigee Edge 實體 (例如 API 代理程式、產品、開發人員應用程式、開發人員和自訂報表) 套用精細的權限。

您可以透過使用者介面或 API 建立及設定自訂角色。請參閱「在使用者介面中建立自訂角色」和「使用 API 建立角色」相關說明。