指派角色

查看 Apigee Edge 說明文件。
前往 Apigee X說明文件 資訊

本主題討論 Apigee Edge 機構的角色型存取權控管,並說明做法 建立角色並指派使用者只有機構組織管理員才能執行以下操作 執行前述工作

影片:觀看這部短片,瞭解 Apigee Edge 的內建和自訂功能 角色。

什麼是角色?

角色基本上是以 CRUD 為基礎的權限集。CRUD 是指「建立、讀取、更新、刪除」。 例如,某個使用者可能獲派的角色允許其讀取或「取得」詳細資料 未授權實體,但無法更新或刪除其內容。機構管理員是 具備最高層級的角色,有權對受保護的實體執行任何作業, 包括:

  • API Proxy
  • 追蹤工作階段
  • API 產品
  • 開發人員應用程式
  • 開發人員
  • 環境 (追蹤記錄工具工作階段和部署作業)
  • 自訂報表 (Analytics)

開始使用

只有 Apigee Edge 機構組織管理員,才能建立使用者及指派角色。僅限 機構管理員可以查看及使用選單項目來管理使用者和角色。詳情請見 也管理 機構使用者

注意事項 使用者角色相關資訊

在 Apigee Edge 中,使用者角色是角色型存取權的基礎,這表示您可以控管 對使用者指派角色之後,他們能夠存取哪些功能以下列舉幾點 必須先瞭解下列角色

  • 建立自己的 Apigee Edge 帳戶時,您的角色會自動設為 機構管理員。如果您將使用者 機構,就可以在新增使用者角色時,設定對方的角色 (或角色)。
  • 機構管理員將「您」新增至機構時,系統會決定您的角色 (或角色) 部分。如果貴機構有需要,機構管理員之後可以變更您的角色 無從得知請參閱下方的「將角色指派給使用者」一節。
  • 使用者可以指派多個角色。如果使用者獲派多個角色, 應優先獲得較高的權限例如,某個角色不允許 API Proxy,但其他角色能夠建立 API Proxy。一般來說 常見的用途是為使用者指派多個角色請參閱指派作業 角色授予使用者
  • 根據預設,與機構相關聯的所有使用者都能查看 機構使用者,例如電子郵件地址、名字和姓氏。

請務必瞭解使用者角色專屬於其所屬機構組織 。Apigee Edge 使用者可以同時屬於多個機構,但角色 專屬於機構的舉例來說,單一使用者可以擁有「機構管理員」角色 機構和另一個角色的使用者角色

指派中 授予使用者的角色

您可以在新增使用者編輯現有使用者時,為使用者新增一或多個角色 使用者。如需每個角色的詳細資料,請參閱預設角色 權限

將角色指派給具備權限的使用者 Edge API

您可以使用 Edge API 為使用者指派角色。以下範例使用將使用者新增至 角色 API,將使用者新增至「作業管理員」角色:

curl https://api.enterprise.apigee.com/v1/o/org_name/userroles/opsadmin/users \
    -X POST \
    -H "Content-Type:application/x-www-form-urlencoded" \
    -d 'id=jdoe@example.com'
    -u orgAdminEmail:pword

其中 org_name 是貴機構的名稱。

預設角色權限

Apigee Edge 提供一組立即可用的預設角色。若需更多資訊,請參閲 邊緣內建角色

如果您是機構管理員

機構管理員可以查看各類使用者的完整權限清單,只要前往 管理 >機構角色。點選角色後,即可前往表格 看起來會像這樣:

表格會顯示資源的保護層級。在這個情況下 使用者可以透過 Edge 管理 UI 進行互動 API。

  • 第一欄會列出使用者進行互動的一般資源名稱 。以及 API Proxy、產品、部署作業等等其他項目。 欄反映管理 UI 中顯示的項目名稱。
  • 第二欄會列出用來存取資源的路徑, Management API
  • 第三欄則會列出該角色可對其執行的操作 資源和路徑作業為 GET、PUT 和 DELETE。在 UI 中,這些相同的作業 分別是「檢視」、「編輯」和「刪除」但請記住,使用者介面和 API 採用的 這些作業的術語

如果您不是機構管理員

您不得在使用者介面中新增或變更使用者的角色,也無法查看角色屬性。 請參閱「內建邊緣角色」一文,瞭解詳細資訊: 有關授予每個角色的權限。

角色作業

您可以透過管理 API 或管理 UI 指派角色。無論是哪種方式 使用 CRUD 權限,但 API 和 UI 的術語略有不同。

Edge 管理 API 允許下列 CRUD 作業:

  • GET::可讓使用者查看受保護的資源清單或查看 單例模式 RBAC 資源
  • PUT: 可讓使用者建立或更新受保護的資源 (包含 PUTPOST HTTP 方法)
  • DELETE: 可讓使用者刪除受保護的執行個體 資源。

Edge 管理 UI 是指相同的 CRUD 作業,但 用不同用語:

  • 檢視:允許使用者查看受保護的資源。一般而言, 可以一次檢視一個資源,或是查看資源清單。
  • 編輯:讓使用者能夠更新受保護的資源。
  • 建立:讓使用者可以建立受保護的資源。
  • 刪除: 讓使用者能夠刪除受保護的執行個體 資源。

建立自訂角色

自訂角色能讓您將精細的權限套用至這些 Apigee Edge 實體,例如 API Proxy、產品、開發人員應用程式、開發人員和自訂報表。

您可以透過 UI 或 API 建立及設定自訂角色。如需建立自訂角色,請參閱 UI建立角色 快速互動