Szerepköralapú hozzáférés-vezérlés használata az Azure API Managementben
A KÖVETKEZŐRE VONATKOZIK: Minden API Management-szint
Az Azure API Management az Azure szerepköralapú hozzáférés-vezérlésére (Azure RBAC) támaszkodva teszi lehetővé az API Management-szolgáltatások és -entitások (például API-k és szabályzatok) részletesen szabályozott hozzáférés-kezelését. Ez a cikk áttekintést nyújt az API Management beépített és egyéni szerepköreiről. Az Azure Portal hozzáférés-kezelésével kapcsolatos további információkért tekintse meg az Azure Portal hozzáférés-kezelésének első lépéseit.
Feljegyzés
Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Az első lépésekhez tekintse meg az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.
Beépített szolgáltatásszerepkörök
Az API Management jelenleg három beépített szerepkört biztosít, és a közeljövőben további két szerepkört fog hozzáadni. Ezek a szerepkörök különböző hatókörökhöz rendelhetők, beleértve az előfizetést, az erőforráscsoportot és az egyes API Management-példányokat. Ha például az erőforráscsoport szintjén hozzárendeli az „API Management szolgáltatás olvasója” szerepkört egy felhasználóhoz, akkor a felhasználó olvasási hozzáféréssel rendelkezik az erőforráscsoporton belüli összes API Management-példányhoz.
Az alábbi táblázat a beépített szerepkörök rövid leírását tartalmazza. Ezeket a szerepköröket az Azure Portalon vagy más eszközökkel rendelheti hozzá, például az Azure PowerShellt, az Azure CLI-t és a REST API-t. A beépített szerepkörök hozzárendelésével kapcsolatos részletekért lásd : Azure-szerepkörök hozzárendelése az Azure-előfizetés erőforrásaihoz való hozzáférés kezeléséhez.
| Szerepkör | Olvasási hozzáférés[1] | Írási hozzáférés[2] | Szolgáltatás létrehozása, törlése, skálázása, VPN és egyéni tartomány konfigurálása | Hozzáférés az örökölt közzétevői portálhoz | Leírás |
|---|---|---|---|---|---|
| API Management szolgáltatás közreműködője | ✓ | ✓ | ✓ | ✓ | Felügyelő. Teljes CRUD-hozzáféréssel rendelkezik az API Management-szolgáltatásokhoz és -entitásokhoz (például API-khoz és szabályzatokhoz). Hozzáféréssel rendelkezik az örökölt közzétevői portálhoz. |
| API Management szolgáltatás olvasója | ✓ | Írásvédett hozzáféréssel rendelkezik az API Management-szolgáltatásokhoz és -entitásokhoz. | |||
| API Management szolgáltatás operátora | ✓ | ✓ | Kezelheti az API Management-szolgáltatásokat, az API Management-entitásokat azonban nem. |
[1] Olvasási hozzáférés az API Management-szolgáltatásokhoz és -entitásokhoz (például API-khoz és szabályzatokhoz).
[2] Írási hozzáférés az API Management-szolgáltatásokhoz és -entitásokhoz a következő műveletek kivételével: példányok létrehozása, törlése és skálázása; VPN-konfiguráció; és egyéni tartománybeállítást.
Beépített munkaterületi szerepkörök
Az API Management az alábbi beépített szerepköröket biztosítja egy API Management-példány munkaterületeinek közreműködői számára.
A munkaterület-közreműködőkhöz munkaterület-hatókörű és szolgáltatás hatókörű szerepkört is hozzá kell rendelni.
| Szerepkör | Hatókör | Leírás |
|---|---|---|
| API Management-munkaterület közreműködője | munkaterület | Kezelheti a munkaterületet és a nézetet, de nem módosíthatja a tagjait. Ezt a szerepkört hozzá kell rendelni a munkaterület hatóköréhez. |
| API Management-munkaterület olvasója | munkaterület | Írásvédett hozzáféréssel rendelkezik a munkaterületen lévő entitásokhoz. Ezt a szerepkört hozzá kell rendelni a munkaterület hatóköréhez. |
| API Management Workspace API Developer | munkaterület | Olvasási hozzáféréssel rendelkezik a munkaterületen található entitásokhoz, és olvasási és írási hozzáféréssel rendelkezik az entitásokhoz az API-k szerkesztéséhez. Ezt a szerepkört hozzá kell rendelni a munkaterület hatóköréhez. |
| API Management Workspace API Product Manager | munkaterület | Olvasási hozzáféréssel rendelkezik a munkaterületen található entitásokhoz, valamint olvasási és írási hozzáféréssel rendelkezik az entitásokhoz az API-k közzétételéhez. Ezt a szerepkört hozzá kell rendelni a munkaterület hatóköréhez. |
| API Management Service Workspace API Developer | service | Olvasási hozzáféréssel rendelkezik a címkékhez és termékekhez, és írási hozzáféréssel rendelkezik az alábbiak engedélyezéséhez: ▪️ API-k hozzárendelése termékekhez ▪️ Címkék hozzárendelése termékekhez és API-khoz Ezt a szerepkört hozzá kell rendelni a szolgáltatás hatóköréhez. |
| API Management Service Workspace API Product Manager | service | Ugyanazzal a hozzáféréssel rendelkezik, mint az API Management Service Workspace API Developer, valamint olvasási és írási hozzáféréssel, hogy lehetővé tegye a felhasználók csoportokhoz való hozzárendelését. Ezt a szerepkört hozzá kell rendelni a szolgáltatás hatóköréhez. |
Egyéni szerepkörök
Ha egyik beépített szerepkör sem felel meg az Ön igényeinek, egyéni szerepkörök hozhatók létre, hogy részletesebb hozzáférés-kezelést biztosítsanak az API Management-entitásokhoz. Létrehozhat például egy egyéni szerepkört, amely írásvédett hozzáféréssel rendelkezik egy API Management szolgáltatáshoz, de csak egy adott API írási hozzáféréssel rendelkezik. Az egyéni szerepkörökről az Egyéni szerepkörök az Azure RBAC-ben című témakörben olvashat bővebben.
Feljegyzés
Ahhoz, hogy egy API Management-példány megjelenjen az Azure Portalon, egy egyéni szerepkörnek tartalmaznia kell a Microsoft.ApiManagement/service/read műveletet.
Egyéni szerepkör létrehozásakor egyszerűbb az egyik beépített szerepkörrel kezdeni. Szerkessze az attribútumokat a Műveletek, a NotActions vagy az AssignableScopes hozzáadásához, majd mentse a módosításokat új szerepkörként. Az alábbi példa az "API Management Service Reader" szerepkörrel kezdődik, és létrehoz egy "Calculator API Editor" nevű egyéni szerepkört. Az egyéni szerepkört egy adott API hatókörében rendelheti hozzá. Következésképpen ez a szerepkör csak az adott API-hoz fér hozzá.
$role = Get-AzRoleDefinition "API Management Service Reader Role"
$role.Id = $null
$role.Name = 'Calculator API Contributor'
$role.Description = 'Has read access to Contoso APIM instance and write access to the Calculator API.'
$role.Actions.Add('Microsoft.ApiManagement/service/apis/write')
$role.Actions.Add('Microsoft.ApiManagement/service/apis/*/write')
$role.AssignableScopes.Clear()
$role.AssignableScopes.Add('/subscriptions/<Azure subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.ApiManagement/service/<APIM service instance name>/apis/<API name>')
New-AzRoleDefinition -Role $role
New-AzRoleAssignment -ObjectId <object ID of the user account> -RoleDefinitionName 'Calculator API Contributor' -Scope '/subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.ApiManagement/service/<APIM service instance name>/apis/<API name>'
Az Azure Resource Manager erőforrás-szolgáltatói üzemeltetési cikk az API Management szintjén adható engedélyek listáját tartalmazza.
Következő lépések
A szerepköralapú hozzáférés-vezérlésről az Azure-ban az alábbi cikkekben olvashat bővebben: