Details zu API-Gateway

In diesem Thema werden Details zum Schreiben von Policys zur Kontrolle des Zugriffs auf API Gateway erläutert.

Ressourcentypen

Aggregierter Ressourcentyp

api-gateway-family

Individuelle Ressourcentypen

api-gateways
api-deployments
api-definitions
api-workrequests
api-certificates
api-sdks
api-subscribers
api-usage-plans

Kommentare

Eine Policy, die <verb> api-gateway-family verwendet, entspricht dem Schreiben einer Policy mit einer separaten <verb> <individual resource-type>-Anweisung für die einzelnen individuellen Ressourcentypen.

Details zu den von den einzelnen Verben abgedeckten API-Vorgängen für jeden Ressourcentyp in api-gateway-family finden Sie in der Tabelle unter Details für Kombinationen aus Verb + Ressourcentyp.

Unterstützte Variablen

API Gateway unterstützt alle allgemeinen Variablen (siehe Allgemeine Variablen für Alle Anforderungen).

Details für Kombinationen aus Verb + Ressourcentyp

In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge angezeigt, die von jedem Verb abgedeckt werden. Die Zugriffsebene ist kumulativ: inspect > read > use > manage. Beispiel: Eine Gruppe, die eine Ressource verwenden kann, kann diese Ressource auch prüfen und lesen. Ein Pluszeichen (+) in einer Tabellenzelle gibt einen inkrementellen Zugriff im Vergleich zur direkt darüber liegenden Zelle an, während "keine zusätzlichen" keinen inkrementellen Zugriff angibt.

Beispiel: Das Verb read für den Ressourcentyp api-gateways umfasst dieselben Berechtigungen und API-Vorgänge wie das Verb inspect sowie die Berechtigung "API_GATEWAY_READ" und eine Reihe von API-Vorgängen (z.B. GetGateway usw.). Das Verb use deckt im Vergleich zu read noch eine weitere Berechtigungen und API-Vorgänge ab. Zuletzt deckt manage mehr Berechtigungen und Operationen ab als use.

api-gateways


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	API_GATEWAY_LIST	`ListGateways`	kein Wert
read	INSPECT + API_GATEWAY_READ	INSPECT + `GetGateway`	`GetDeployment` (benötigt auch `read api-deployments`)
use	READ + API_GATEWAY_ADD_DEPLOYMENT API_GATEWAY_REMOVE_DEPLOYMENT	keine zusätzlichen	`CreateDeployment` und `DeleteDeployment` (beide benötigen auch `manage api-deployments`) `UpdateDeployment` (benötigt auch `use api-deployments`)
manage	USE + API_GATEWAY_CREATE API_GATEWAY_DELETE API_GATEWAY_UPDATE API_GATEWAY_MOVE	USE + `DeleteGateway` `UpdateGateway` `ChangeGatewayCompartment`	`CreateGateway` (benötigt auch `use api-certificates`)

api-deployments


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	API_DEPLOYMENT_LIST	`ListDeployments`	kein Wert
read	INSPECT + API_DEPLOYMENT_READ	keine zusätzlichen	`GetDeployment` (benötigt auch `read api-gateways`)
use	READ + API_DEPLOYMENT_UPDATE	keine zusätzlichen	`UpdateDeployment` (benötigt auch `use api-gateways`)
manage	USE + API_DEPLOYMENT_CREATE API_DEPLOYMENT_DELETE API_DEPLOYMENT_MOVE	USE + `ChangeDeploymentCompartment`	`CreateDeployment` und `DeleteDeployment` (beide benötigen auch `use api-gateways`)

api-definitions


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	API_DEFINITION_LIST	`ListApis`	kein Wert
read	INSPECT + API_DEFINITION_READ	INSPECT + `GetApi` `GetApiContent` `GetApiDeploymentSpecification` `GetApiValidations`	kein Wert
use	READ + API_DEFINITION_UPDATE	READ + `UpdateApi`	kein Wert
manage	USE + API_DEFINITION_CREATE API_DEFINITION_DELETE API_DEPLOYMENT_MOVE	USE + `CreateApi` `DeleteApi` `ChangeApiCompartment`	kein Wert

api-workrequests


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	API_WORK_REQUEST_LIST	`ListWorkRequests`	kein Wert
read	INSPECT + API_WORK_REQUEST_READ	INSPECT + `GetWorkRequest` `ListWorkRequestErrors` `ListWorkRequestLogs`	kein Wert
use	READ + API_WORK_REQUEST_CANCEL	READ + `CancelWorkRequest`	kein Wert
manage	keine zusätzlichen	keine zusätzlichen	kein Wert

api-certificates


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	API_CERTIFICATE_LIST	`ListCertificates`	kein Wert
read	INSPECT + API_CERTIFICATE_READ	INSPECT + `GetCertificate`	kein Wert
use	READ + API_CERTIFICATE_APPLY_TO_GATEWAY	keine zusätzlichen	`CreateGateway` (benötigt auch `manage api-gateways`)
manage	USE + API_CERTIFICATE_CREATE API_CERTIFICATE_DELETE API_CERTIFICATE_UPDATE API_CERTIFICATE_MOVE	USE + CreateCertificate DeleteCertificate UpdateCertificate ChangeCertificateCompartment	kein Wert

api-sdks


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	API_SDK_LIST	`ListSdks`	kein Wert
read	INSPECT + API_SDK_READ	INSPECT + `GetSdk`	kein Wert
use	READ + API_SDK_UPDATE	READ + `UpdateSdk`	kein Wert
manage	USE + API_SDK_CREATE API_SDK_DELETE	USE + `CreateSdk` `DeleteSdk` `ListSdkLanguageTypes`	kein Wert

api-subscribers


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	API_SUBSCRIBER_LIST	`ListSubscribers`	kein Wert
read	INSPECT + API_SUBSCRIBER_READ	INSPECT + `GetSubscriber`	kein Wert
use	READ + API_SUBSCRIBER_UPDATE	keine zusätzlichen	`UpdateSubscriber` (erfordert auch `read api-usage-plans`, um abonnierte Nutzungspläne während der Abonnentenaktualisierung zu aktualisieren)
manage	USE + API_SUBSCRIBER_CREATE API_SUBSCRIBER_DELETE API_SUBSCRIBER_MOVE	USE + `DeleteSubscriber` `ChangeSubscriberCompartment`	`CreateSubscriber` (erfordert auch `read api-usage-plans`, um abonnierte Nutzungspläne während der Abonnentenerstellung hinzuzufügen)

api-usage-plans


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	API_USAGE_PLAN_LIST	`ListUsagePlans`	kein Wert
read	INSPECT + API_USAGE_PLAN_READ	INSPECT + `GetUsagePlan`	kein Wert
use	READ + API_USAGE_PLAN_UPDATE	keine zusätzlichen	`UpdateUsagePlan` (erfordert auch `read API-deployments`, um Ziel-API-Deployments in Berechtigungen während der Nutzungsplanaktualisierung zu aktualisieren)
manage	USE + API_USAGE_PLAN_CREATE API_USAGE_PLAN_DELETE API_USAGE_PLAN_MOVE	USE + `DeleteUsagePlan` `ChangeUsagePlanCompartment`	`CreateUsagePlan` (erfordert auch `read API-deployments`, um den Berechtigungen Ziel-API-Deployments während der Nutzungsplanerstellung hinzuzufügen)

Für jeden API-Vorgang erforderliche Berechtigungen

In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.


API-Vorgang	Erforderliche Berechtigungen für den Vorgang
`ListGateways`	API_GATEWAY_LIST
`CreateGateway`	API_GATEWAY_CREATE und API_CERTIFICATE_APPLY_TO_GATEWAY
`GetGateway`	API_GATEWAY_READ
`UpdateGateway`	API_GATEWAY_UPDATE
`DeleteGateway`	API_GATEWAY_DELETE
`ChangeGatewayCompartment`	API_GATEWAY_READ, API_GATEWAY_UPDATE und API_GATEWAY_MOVE
`ListDeployments`	API_DEPLOYMENT_LIST
`CreateDeployment`	API_DEPLOYMENT_CREATE und API_GATEWAY_READ und API_GATEWAY_ADD_DEPLOYMENT
`GetDeployment`	API_DEPLOYMENT_READ und API_GATEWAY_READ
`UpdateDeployment`	API_DEPLOYMENT_UPDATE und API_GATEWAY_READ und API_GATEWAY_ADD_DEPLOYMENT
`DeleteDeployment`	API_DEPLOYMENT_DELETE und API_GATEWAY_READ und API_GATEWAY_REMOVE_DEPLOYMENT
`ChangeDeploymentCompartment`	API_DEPLOYMENT_READ, API_DEPLOYMENT_UPDATE und API_DEPLOYMENT_MOVE
`ListApis`	API_DEFINITION_LIST
`CreateApi`	API_DEFINITION_CREATE
`GetApi`	API_DEFINITION_READ
`GetApiContent`	API_DEFINITION_READ
`GetApiDeploymentSpecification`	API_DEFINITION_READ
`GetApiValidations`	API_DEFINITION_READ
`UpdateApi`	API_DEFINITION_UPDATE
`DeleteApi`	API_DEFINITION_DELETE
`ChangeApiCompartment`	API_DEFINITION_MOVE
`ListWorkRequests`	API_WORK_REQUEST_LIST
`GetWorkRequest`	API_WORK_REQUEST_READ
`CancelWorkRequest`	API_WORK_REQUEST_CANCEL
`ListWorkRequestErrors`	API_WORK_REQUEST_READ
`ListWorkRequestLogs`	API_WORK_REQUEST_READ
`ListCertificates`	API_CERTIFICATE_LIST
`CreateCertificate`	API_CERTIFICATE_CREATE
`GetCertificate`	API_CERTIFICATE_READ
`UpdateCertificate`	API_CERTIFICATE_UPDATE
`DeleteCertificate`	API_CERTIFICATE_DELETE
`ChangeCertificateCompartment`	API_CERTIFICATE_MOVE
`ListSdks`	API_SDK_LIST
`GetSdk`	API_SDK_READ
`UpdateSdk`	API_SDK_UPDATE
`CreateSdk`	API_SDK_CREATE
`ListSdkLanguageTypes`	API_SDK_CREATE
`DeleteSdk`	API_SDK_DELETE
`ListSubscribers`	API_SUBSCRIBER_LIST
`GetSubscriber`	API_SUBSCRIBER_READ
`UpdateSubscriber`	API_SUBSCRIBER_UPDATE API_USAGE_PLAN_READ ist erforderlich, um abonnierte Nutzungspläne während der Abonnentenaktualisierung zu aktualisieren.
`CreateSubscriber`	API_SUBSCRIBER_CREATE API_USAGE_PLAN_READ ist erforderlich, um abonnierte Nutzungspläne während der Abonnentenerstellung hinzuzufügen.
`DeleteSubscriber`	API_SUBSCRIBER_DELETE
`ChangeSubscriberCompartment`	API_SUBSCRIBER_MOVE
`ListUsagePlans`	API_USAGE_PLAN_LIST
`GetUsagePlan`	API_USAGE_PLAN_READ
`UpdateUsagePlan`	API_USAGE_PLAN_UPDATE API_DEPLOYMENT_READ ist erforderlich, um Ziel-API-Deployments in Berechtigungen während der Nutzungsplanaktualisierung zu aktualisieren.
`CreateUsagePlan`	API_USAGE_PLAN_CREATE API_DEPLOYMENT_READ ist erforderlich, um den Berechtigungen Ziel-API-Deployments während der Nutzungsplanerstellung hinzuzufügen.
`DeleteUsagePlan`	API_USAGE_PLAN_DELETE
`ChangeUsagePlanCompartment`	API_USAGE_PLAN_MOVE

Oracle Cloud Infrastructure - Dokumentation