Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A KÖVETKEZŐRE VONATKOZIK: Minden API-kezelési szint
Az Azure API Management az Azure szerepköralapú hozzáférés-vezérlésére (Azure RBAC) támaszkodik, hogy lehetővé tegye az API Management-szolgáltatások és -entitások, köztük a munkaterületek részletes hozzáférés-kezelését. Ez a cikk áttekintést nyújt az API Management beépített és egyéni szerepköreiről. Az Azure Portal hozzáférés-kezelésével kapcsolatos további információkért tekintse meg az Azure Portal hozzáférés-kezelésének első lépéseit.
Megjegyzés
Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Az első lépésekhez tekintse meg Az Azure PowerShell telepítése témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.
Beépített szolgáltatás szerepkörök
Az API Management jelenleg három beépített szolgáltatásszerepkört biztosít. Ezek a szerepkörök különféle hatókörökhöz rendelhetők, beleértve az előfizetéseket, az erőforráscsoportokat és az egyes API-kezelési példányokat. Ha például az erőforráscsoport szintjén hozzárendeli az „API Management szolgáltatás olvasója” szerepkört egy felhasználóhoz, akkor a felhasználó olvasási hozzáféréssel rendelkezik az erőforráscsoporton belüli összes API Management-példányhoz.
Az alábbi táblázat a beépített szerepkörök rövid leírását tartalmazza. Ezeket a szerepköröket az Azure Portalon vagy más eszközökkel rendelheti hozzá, például az Azure PowerShellt, az Azure CLI-t és a REST API-t. A beépített szerepkörök hozzárendelésével kapcsolatos részletekért lásd : Azure-szerepkörök hozzárendelése az Azure-előfizetés erőforrásaihoz való hozzáférés kezeléséhez.
| Szerepkör | Olvasási hozzáférés[1] | Írási hozzáférés[2] | Szolgáltatás létrehozása, törlése, skálázása, VPN és egyéni tartomány konfigurálása | Hozzáférés a régi kiadói portálhoz | Leírás |
|---|---|---|---|---|---|
| API Management szolgáltatás közreműködője | ✓ | ✓ | ✓ | ✓ | Szuper felhasználó. Teljes CRUD-hozzáféréssel rendelkezik az API Management-szolgáltatásokhoz és -entitásokhoz (például API-khoz és szabályzatokhoz). Hozzáféréssel rendelkezik a régi közzétételi portálhoz. |
| API Management szolgáltatás olvasója | ✓ | Csak olvasási hozzáféréssel rendelkezik az API Management-szolgáltatásokhoz és -entitásokhoz. | |||
| API Management szolgáltatás operátora | ✓ | ✓ | Kezelheti az API Management-szolgáltatásokat, az API Management-entitásokat azonban nem. |
[1] Olvasási hozzáférés az API Management-szolgáltatásokhoz és -entitásokhoz (például API-khoz és szabályzatokhoz).
[2] Írási hozzáférés az API Management-szolgáltatásokhoz és -entitásokhoz a következő műveletek kivételével: példányok létrehozása, törlése és skálázása; VPN-konfiguráció; és egyéni tartomány beállítása.
Beépített munkaterületi szerepkörök
Az API Management az alábbi beépített szerepköröket biztosítja egy API Management-példány munkaterületeinek közreműködői számára.
A munkaterület-közreműködőkhöz munkaterület-hatókörű és szolgáltatás hatókörű szerepkört is hozzá kell rendelni.
| Szerepkör | Hatókör | Leírás |
|---|---|---|
| API Management-munkaterület közreműködője | munkaterület | Kezelheti a munkaterületet és a nézetet, de nem módosíthatja a tagjait. Ezt a szerepkört hozzá kell rendelni a munkaterület hatóköréhez. |
| API-kezelési munkaterület olvasó | munkaterület | Írásvédett hozzáféréssel rendelkezik a munkaterületen lévő entitásokhoz. Ezt a szerepkört hozzá kell rendelni a munkaterület hatóköréhez. |
| API-kezelés Munkaterület API Fejlesztő | munkaterület | Olvasási hozzáféréssel rendelkezik a munkaterületen található entitásokhoz, és olvasási és írási hozzáféréssel rendelkezik az entitásokhoz az API-k szerkesztéséhez. Ezt a szerepkört hozzá kell rendelni a munkaterület hatóköréhez. |
| API-kezelő tárhely API termékmenedzser | munkaterület | Olvasási hozzáféréssel rendelkezik a munkaterületen található entitásokhoz, valamint olvasási és írási hozzáféréssel rendelkezik az entitásokhoz az API-k közzétételéhez. Ezt a szerepkört hozzá kell rendelni a munkaterület hatóköréhez. |
| API-kezelési szolgáltatás munkaterület API fejlesztő | szolgáltatás | Olvasási hozzáféréssel rendelkezik a címkékhez és termékekhez, és írási hozzáféréssel rendelkezik az alábbiak engedélyezéséhez: ▪️ API-k hozzárendelése termékekhez ▪️ Címkék hozzárendelése termékekhez és API-khoz Ezt a szerepkört hozzá kell rendelni a szolgáltatás hatóköréhez. |
| API-kezelési szolgáltatás Munkaterület API termékmenedzser | szolgáltatás | Ugyanazzal a hozzáféréssel rendelkezik, mint az API Management Service Workspace API Developer, valamint olvasási és írási hozzáféréssel, hogy lehetővé tegye a felhasználók csoportokhoz való hozzárendelését. Ezt a szerepkört hozzá kell rendelni a szolgáltatás hatóköréhez. |
Attól függően, hogy a munkaterület-közreműködők hogyan használják vagy kezelik a munkaterületet, javasoljuk, hogy rendelje hozzá az alábbi Azure által biztosított RBAC-szerepkörök egyikét a munkaterület-átjáró hatókörébe: Olvasó, Közreműködő vagy Tulajdonos.
Beépített fejlesztői portál szerepkörök
| Szerepkör | Hatókör | Leírás |
|---|---|---|
| API Management fejlesztői portál tartalomszerkesztője | szolgáltatás | Testre szabhatja a fejlesztői portált, szerkesztheti annak tartalmát, és közzéteheti az Azure Resource Manager API-kkal. |
Egyéni szerepkörök
Ha egyik beépített szerepkör sem felel meg az Ön igényeinek, egyéni szerepkörök hozhatók létre, hogy részletesebb hozzáférés-kezelést biztosítsanak az API Management-entitásokhoz. Például létrehozhat egy egyéni szerepkört, amely csak olvasási hozzáféréssel rendelkezik egy API Management szolgáltatáshoz, de csak egy adott API-hoz van írási hozzáférése. Az egyéni szerepkörökről az Egyéni szerepkörök az Azure RBAC-ben című témakörben olvashat bővebben.
Megjegyzés
Ahhoz, hogy egy API Management-példány megjelenjen az Azure Portalon, egy egyéni szerepkörnek tartalmaznia kell a Microsoft.ApiManagement/service/read műveletet.
Egyéni szerepkör létrehozásakor egyszerűbb az egyik beépített szerepkörrel kezdeni. Szerkessze az attribútumokat, hogy hozzáadja a Műveletek, NotActions vagy AssignableScopes elemeket, majd mentse el a módosításokat új szerepkörként. Az alábbi példa az "API Management Service Reader" szerepkörrel kezdődik, és létrehoz egy "Calculator API Editor" nevű egyéni szerepkört. Az egyéni szerepkört egy adott API hatókörében rendelheti hozzá. Következésképpen ez a szerepkör csak az adott API-hoz fér hozzá.
$role = Get-AzRoleDefinition "API Management Service Reader Role"
$role.Id = $null
$role.Name = 'Calculator API Contributor'
$role.Description = 'Has read access to Contoso APIM instance and write access to the Calculator API.'
$role.Actions.Add('Microsoft.ApiManagement/service/apis/write')
$role.Actions.Add('Microsoft.ApiManagement/service/apis/*/write')
$role.AssignableScopes.Clear()
$role.AssignableScopes.Add('/subscriptions/<Azure subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.ApiManagement/service/<APIM service instance name>/apis/<API name>')
New-AzRoleDefinition -Role $role
New-AzRoleAssignment -ObjectId <object ID of the user account> -RoleDefinitionName 'Calculator API Contributor' -Scope '/subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.ApiManagement/service/<APIM service instance name>/apis/<API name>'
Az Azure Resource Manager erőforrás-szolgáltatói üzemeltetési cikk az API Management szintjén adható engedélyek listáját tartalmazza.
Kapcsolódó tartalom
A szerepköralapú hozzáférés-vezérlésről az Azure-ban az alábbi cikkekben olvashat bővebben: