Details zu API-Gateway
In diesem Thema werden Details zum Schreiben von Policys zur Kontrolle des Zugriffs auf API Gateway beschrieben.
Ressourcentypen
Aggregierter Ressourcentyp
api-gateway-family
Individuelle Ressourcentypen
api-gateways
api-deployments
api-definitions
api-workrequests
api-certificates
api-sdks
api-subscribers
api-usage-plans
Kommentare
Eine Policy, die <verb> api-gateway-family
verwendet, entspricht dem Schreiben einer Policy mit einer separaten <verb> <individual resource-type>
-Anweisung für die einzelnen individuellen Ressourcentypen.
Details zu den von den einzelnen Verben abgedeckten API-Vorgängen für jeden Ressourcentyp in api-gateway-family
finden Sie in der Tabelle unter Details für Kombinationen aus Verb + Ressourcentyp.
Unterstützte Variablen
API Gateway unterstützt alle allgemeinen Variablen (siehe Allgemeine Variablen für alle Anforderungen).
Details für Kombinationen aus Verb + Ressourcentyp
In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge angezeigt, die von jedem Verb abgedeckt werden. Die Zugriffsebene ist kumulativ: inspect
> read
> use
> manage
. Beispiel: Eine Gruppe, die eine Ressource verwenden kann, kann diese Ressource auch prüfen und lesen. Ein Pluszeichen (+) in einer Tabellenzelle gibt einen inkrementellen Zugriff im Vergleich zur direkt darüber liegenden Zelle an, während "keine zusätzlichen" keinen inkrementellen Zugriff angibt.
Beispiel: Das Verb read
für den Ressourcentyp api-gateways
umfasst dieselben Berechtigungen und API-Vorgänge wie das Verb inspect
sowie die Berechtigung "API_GATEWAY_READ" und eine Reihe von API-Vorgängen (z.B. GetGateway
usw.). Das Verb use
deckt im Vergleich zu read
noch eine weitere Berechtigungen und API-Vorgänge ab. Zuletzt deckt manage
mehr Berechtigungen und Operationen ab als use
.
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | API_GATEWAY_LIST |
ListGateways
|
kein Wert |
read | INSPECT + API_GATEWAY_READ |
INSPECT +
|
GetDeployment (benötigt auch read api-deployments )
|
use | READ + API_GATEWAY_ADD_DEPLOYMENT API_GATEWAY_REMOVE_DEPLOYMENT |
keine zusätzlichen |
|
manage | USE + API_GATEWAY_CREATE API_GATEWAY_DELETE API_GATEWAY_UPDATE API_GATEWAY_MOVE |
USE +
|
|
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | API_DEPLOYMENT_LIST |
ListDeployments
|
kein Wert |
read | INSPECT + API_DEPLOYMENT_READ |
keine zusätzlichen |
GetDeployment (benötigt auch read api-gateways )
|
use | READ + API_DEPLOYMENT_UPDATE |
keine zusätzlichen |
UpdateDeployment (benötigt auch use api-gateways )
|
manage | USE + API_DEPLOYMENT_CREATE API_DEPLOYMENT_DELETE API_DEPLOYMENT_MOVE |
USE + ChangeDeploymentCompartment
|
CreateDeployment und DeleteDeployment (beide benötigen auch use api-gateways )
|
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | API_DEFINITION_LIST |
ListApis
|
kein Wert |
read | INSPECT + API_DEFINITION_READ |
INSPECT +
|
kein Wert |
use | READ + API_DEFINITION_UPDATE |
READ +
|
kein Wert |
manage | USE + API_DEFINITION_CREATE API_DEFINITION_DELETE API_DEPLOYMENT_MOVE |
USE +
|
kein Wert |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | API_WORK_REQUEST_LIST |
ListWorkRequests
|
kein Wert |
read | INSPECT + API_WORK_REQUEST_READ |
INSPECT +
|
kein Wert |
use | READ + API_WORK_REQUEST_CANCEL |
READ +
|
kein Wert |
manage | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | API_CERTIFICATE_LIST |
ListCertificates
|
kein Wert |
read | INSPECT + API_CERTIFICATE_READ |
INSPECT +
|
kein Wert |
use | READ + API_CERTIFICATE_APPLY_TO_GATEWAY |
keine zusätzlichen |
|
manage | USE + API_CERTIFICATE_CREATE API_CERTIFICATE_DELETE API_CERTIFICATE_UPDATE API_CERTIFICATE_MOVE |
USE + CreateCertificate DeleteCertificate UpdateCertificate ChangeCertificateCompartment |
kein Wert |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | API_SDK_LIST |
ListSdks
|
kein Wert |
read | INSPECT + API_SDK_READ |
INSPECT +
|
kein Wert |
use | READ + API_SDK_UPDATE |
READ +
|
kein Wert |
manage | USE + API_SDK_CREATE API_SDK_DELETE |
USE +
|
kein Wert |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | API_SUBSCRIBER_LIST |
ListSubscribers
|
kein Wert |
read | INSPECT + API_SUBSCRIBER_READ |
INSPECT +
|
kein Wert |
use | READ + API_SUBSCRIBER_UPDATE |
keine zusätzlichen |
UpdateSubscriber (erfordert auch read api-usage-plans , um abonnierte Nutzungspläne während der Abonnentenaktualisierung zu aktualisieren) |
manage | USE + API_SUBSCRIBER_CREATE API_SUBSCRIBER_DELETE API_SUBSCRIBER_MOVE |
USE +
|
|
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | API_USAGE_PLAN_LIST |
ListUsagePlans
|
kein Wert |
read | INSPECT + API_USAGE_PLAN_READ |
INSPECT +
|
kein Wert |
use | READ + API_USAGE_PLAN_UPDATE |
keine zusätzlichen |
UpdateUsagePlan (erfordert auch read API-deployments , um Ziel-API-Deployments in Berechtigungen während der Nutzungsplanaktualisierung zu aktualisieren) |
manage | USE + API_USAGE_PLAN_CREATE API_USAGE_PLAN_DELETE API_USAGE_PLAN_MOVE |
USE +
|
|
Für jeden API-Vorgang erforderliche Berechtigungen
In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt. Informationen zu Berechtigungen finden Sie unter Berechtigungen.
API-Vorgang | Erforderliche Berechtigungen für den Vorgang |
---|---|
ListGateways
|
API_GATEWAY_LIST |
CreateGateway
|
API_GATEWAY_CREATE und API_CERTIFICATE_APPLY_TO_GATEWAY |
GetGateway
|
API_GATEWAY_READ |
UpdateGateway
|
API_GATEWAY_UPDATE |
DeleteGateway
|
API_GATEWAY_DELETE |
ChangeGatewayCompartment
|
API_GATEWAY_READ, API_GATEWAY_UPDATE und API_GATEWAY_MOVE |
ListDeployments
|
API_DEPLOYMENT_LIST |
CreateDeployment
|
API_DEPLOYMENT_CREATE und API_GATEWAY_READ und API_GATEWAY_ADD_DEPLOYMENT |
GetDeployment
|
API_DEPLOYMENT_READ und API_GATEWAY_READ |
UpdateDeployment
|
API_DEPLOYMENT_UPDATE und API_GATEWAY_READ und API_GATEWAY_ADD_DEPLOYMENT |
DeleteDeployment
|
API_DEPLOYMENT_DELETE und API_GATEWAY_READ und API_GATEWAY_REMOVE_DEPLOYMENT |
ChangeDeploymentCompartment
|
API_DEPLOYMENT_READ, API_DEPLOYMENT_UPDATE und API_DEPLOYMENT_MOVE |
ListApis |
API_DEFINITION_LIST |
CreateApi |
API_DEFINITION_CREATE |
GetApi |
API_DEFINITION_READ |
GetApiContent |
API_DEFINITION_READ |
GetApiDeploymentSpecification |
API_DEFINITION_READ |
GetApiValidations |
API_DEFINITION_READ |
UpdateApi |
API_DEFINITION_UPDATE |
DeleteApi |
API_DEFINITION_DELETE |
ChangeApiCompartment |
API_DEFINITION_MOVE |
ListWorkRequests
|
API_WORK_REQUEST_LIST |
GetWorkRequest
|
API_WORK_REQUEST_READ |
CancelWorkRequest
|
API_WORK_REQUEST_CANCEL |
ListWorkRequestErrors
|
API_WORK_REQUEST_READ |
ListWorkRequestLogs
|
API_WORK_REQUEST_READ |
ListCertificates |
API_CERTIFICATE_LIST |
CreateCertificate |
API_CERTIFICATE_CREATE |
GetCertificate |
API_CERTIFICATE_READ |
UpdateCertificate |
API_CERTIFICATE_UPDATE |
DeleteCertificate |
API_CERTIFICATE_DELETE |
ChangeCertificateCompartment |
API_CERTIFICATE_MOVE |
ListSdks |
API_SDK_LIST |
GetSdk |
API_SDK_READ |
UpdateSdk |
API_SDK_UPDATE |
CreateSdk |
API_SDK_CREATE |
ListSdkLanguageTypes |
API_SDK_CREATE |
DeleteSdk |
API_SDK_DELETE |
ListSubscribers |
API_SUBSCRIBER_LIST |
GetSubscriber |
API_SUBSCRIBER_READ |
UpdateSubscriber |
API_SUBSCRIBER_UPDATE API_USAGE_PLAN_READ ist erforderlich, um abonnierte Nutzungspläne während der Abonnentenaktualisierung zu aktualisieren. |
CreateSubscriber |
API_SUBSCRIBER_CREATE API_USAGE_PLAN_READ ist erforderlich, um abonnierte Nutzungspläne während der Abonnentenerstellung hinzuzufügen. |
DeleteSubscriber |
API_SUBSCRIBER_DELETE |
ChangeSubscriberCompartment |
API_SUBSCRIBER_MOVE |
ListUsagePlans |
API_USAGE_PLAN_LIST |
GetUsagePlan |
API_USAGE_PLAN_READ |
UpdateUsagePlan |
API_USAGE_PLAN_UPDATE API_DEPLOYMENT_READ ist erforderlich, um Ziel-API-Deployments in Berechtigungen während der Nutzungsplanaktualisierung zu aktualisieren. |
CreateUsagePlan |
API_USAGE_PLAN_CREATE API_DEPLOYMENT_READ ist erforderlich, um den Berechtigungen Ziel-API-Deployments während der Nutzungsplanerstellung hinzuzufügen. |
DeleteUsagePlan |
API_USAGE_PLAN_DELETE |
ChangeUsagePlanCompartment |
API_USAGE_PLAN_MOVE |