分配角色

您正在查看的是 Apigee Edge 文档。
转到 Apigee X 文档
信息

本主题讨论 Apigee Edge 组织基于角色的访问权限控制,并说明如何创建角色并为其分配用户。您必须是组织管理员才能执行此处所述的任务。

视频:观看短视频,了解 Apigee Edge 内置和自定义角色。

什么是角色?

角色本质上是基于 CRUD 的权限集。CRUD 是指“创建、读取、更新、删除”。例如,用户可能会获得一个角色,可让其读取或“获取”有关受保护的实体的详细信息,但不能获得更新或删除该实体的权限。组织管理员是最高级别的角色,并且有权对受保护的实体执行任何操作,包括:

  • API 代理
  • Trace 会话
  • API 产品
  • 开发者应用
  • 开发者
  • 环境(Trace 工具会话和部署)
  • 自定义报告(Analytics)

开始使用

您必须是 Apigee Edge 组织管理员,才能创建用户并分配角色。只有组织管理员才能查看并使用菜单项来管理用户和角色。另请参阅管理组织用户

有关用户角色的注意事项

在 Apigee Edge 中,用户角色构成了基于角色的访问权限的基础,这意味着您可以通过向用户分配一个或多个角色来控制他们可以访问哪些功能。关于角色,您需要注意以下几点:

  • 创建自己的 Apigee Edge 帐号时,您的角色会自动设置为组织中的 Organization Administrator。如果要将用户添加到您的组织,则您可以在添加用户角色(或多个角色)时设置它们。
  • 当组织管理员将您添加到组织时,您的一个或多个角色由管理员决定。如果有必要,组织管理员可稍后更改您的角色。请参阅下文的向用户分配角色
  • 您可以为用户分配多个角色。如果用户分配了多个角色,则较大权限优先。例如,如果某个角色不允许用户创建 API 代理,但另一个角色允许创建 API 代理,则用户可以创建 API 代理。通常,为用户分配多个角色不是一种常见用例。请参阅下文的向用户分配角色
  • 默认情况下,与组织关联的所有用户都可以查看其他组织用户的详细信息,例如电子邮件地址、名字和姓氏。

请务必注意,用户角色特定于其分配到的组织。一个 Apigee Edge 用户可以属于多个组织,但角色特定于组织。例如,在一个组织中,用户可能拥有组织管理员角色,但在另一个组织中只能拥有用户角色。

给用户分配角色

您可以在添加新用户修改现有用户时,向用户添加一个或多个角色。如需详细了解每个角色,请参阅默认角色权限

使用 Edge API 为用户分配角色

您可以使用 Edge API 为用户分配角色。以下示例使用将用户添加到角色 API 来将用户添加到 Operations 管理员角色:

curl https://api.enterprise.apigee.com/v1/o/org_name/userroles/opsadmin/users \
    -X POST \
    -H "Content-Type:application/x-www-form-urlencoded" \
    -d 'id=jdoe@example.com'
    -u orgAdminEmail:pword

其中 org_name 是您的组织的名称。

默认角色权限

Apigee Edge 提供一组开箱即用的默认角色。如需了解详情,请参阅 Edge 内置角色

如果您是组织管理员

组织管理员可以查看各种类型的用户的完整权限列表。只需依次转到管理 > 组织角色即可。点击某个角色后,系统会将您转到类似于以下内容的表:

下表显示了资源保护的级别。在此上下文中,资源是指用户可通过 Edge 管理界面和 API 与之交互的“实体”。

  • 第一列列出了用户与之互动的常规资源名称。它还包含一些其他内容,如 API 代理、产品、部署等。此列反映了您在管理界面中看到的内容的名称。
  • 第二列列出通过 Management API 访问资源时所用的路径
  • 第三列列出了每个资源和路径上角色可以执行的操作。这些操作包括 GET、PUT 和 DELETE。在界面中,这些相同操作被称为查看、修改和删除。请记住,界面和 API 使用这些操作的不同条款。

如果您不是组织管理员

您不得添加或更改用户的角色,也无法在界面中查看角色属性。如需了解授予每个角色的权限,请参阅 Edge 内置角色

角色操作

您可以通过管理 API 或管理界面分配角色。无论采用哪种方式,您都使用 CRUD 权限,但 API 和界面使用的术语略有不同。

Edge 管理 API 允许以下 CRUD 操作:

  • GET: 允许用户查看受保护的资源列表或查看单例 RBAC 资源
  • PUT: 允许用户创建或更新受保护的资源(同时传入 PUTPOST HTTP 方法)
  • DELETE: 允许用户删除受保护的资源实例。

Edge 管理界面指的是相同的 CRUD 操作,但措辞有所不同:

  • 查看:允许用户查看受保护的资源。通常,您可以一次查看一个资源,也可以查看资源列表。
  • 修改:允许用户更新受保护的资源。
  • 创建:允许用户创建受保护的资源。
  • 删除:允许用户删除受保护的资源实例。

创建自定义角色

自定义角色可让您对 API 代理、产品、开发者应用、开发者和自定义报告等 Apigee Edge 实体应用精细权限。

您可以通过界面或使用 API 创建和配置自定义角色。请参阅在界面中创建自定义角色使用 API 创建角色