Op rollen gebaseerd toegangsbeheer gebruiken in Azure API Management
VAN TOEPASSING OP: Alle API Management-lagen
Azure API Management is afhankelijk van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om gedetailleerd toegangsbeheer mogelijk te maken voor API Management-services en -entiteiten (bijvoorbeeld API's en beleidsregels). In dit artikel vindt u een overzicht van de ingebouwde en aangepaste rollen in API Management. Zie Aan de slag met toegangsbeheer in Azure Portal voor meer informatie over toegangsbeheer in Azure Portal.
Notitie
Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.
Ingebouwde servicerollen
API Management biedt momenteel drie ingebouwde rollen en voegt in de nabije toekomst nog twee rollen toe. Deze rollen kunnen worden toegewezen in verschillende bereiken, waaronder abonnement, resourcegroep en afzonderlijke API Management-instantie. Als u bijvoorbeeld de rol API Management-servicelezer toewijst aan een gebruiker op het niveau van de resourcegroep, heeft de gebruiker leestoegang tot alle API Management-exemplaren in de resourcegroep.
De volgende tabel bevat korte beschrijvingen van de ingebouwde rollen. U kunt deze rollen toewijzen met behulp van Azure Portal of andere hulpprogramma's, waaronder Azure PowerShell, Azure CLI en REST API. Zie Azure-rollen toewijzen om de toegang tot uw Azure-abonnementsbronnen te beheren voor meer informatie over het toewijzen van ingebouwde rollen.
| Role | Leestoegang[1] | Schrijftoegang[2] | Service maken, verwijderen, schalen, VPN en aangepaste domeinconfiguratie | Toegang tot de verouderde uitgeversportal | Beschrijving |
|---|---|---|---|---|---|
| Inzender voor API Management-services | ✓ | ✓ | ✓ | ✓ | Supergebruiker. Heeft volledige CRUD-toegang tot API Management-services en -entiteiten (bijvoorbeeld API's en beleidsregels). Heeft toegang tot de verouderde uitgeversportal. |
| API Management-servicelezer | ✓ | Heeft alleen-lezentoegang tot API Management-services en -entiteiten. | |||
| API Management-serviceoperator | ✓ | ✓ | Kan API Management-services beheren, maar geen entiteiten. |
[1] Leestoegang tot API Management-services en -entiteiten (bijvoorbeeld API's en beleid).
[2] Schrijf toegang tot API Management-services en -entiteiten, met uitzondering van de volgende bewerkingen: het maken, verwijderen en schalen van exemplaren; VPN-configuratie; en het instellen van aangepaste domeinen.
Ingebouwde werkruimterollen
API Management biedt de volgende ingebouwde rollen voor medewerkers in werkruimten in een API Management-exemplaar.
Aan een samenwerker van een werkruimte moet zowel een rol met werkruimtebereik als een servicebereikrol worden toegewezen.
| Role | Bereik | Beschrijving |
|---|---|---|
| Inzender voor API Management-werkruimte | werkruimte | Kan de werkruimte beheren en bekijken, maar de leden ervan niet wijzigen. Deze rol moet worden toegewezen aan het werkruimtebereik. |
| Api Management-werkruimtelezer | werkruimte | Heeft alleen-lezentoegang tot entiteiten in de werkruimte. Deze rol moet worden toegewezen aan het werkruimtebereik. |
| API-ontwikkelaar voor API Management-werkruimte | werkruimte | Heeft leestoegang tot entiteiten in de werkruimte en lees- en schrijftoegang tot entiteiten voor het bewerken van API's. Deze rol moet worden toegewezen aan het werkruimtebereik. |
| API Management Workspace API Product Manager | werkruimte | Heeft leestoegang tot entiteiten in de werkruimte en lees- en schrijftoegang tot entiteiten voor het publiceren van API's. Deze rol moet worden toegewezen aan het werkruimtebereik. |
| API-ontwikkelaar voor API Management-servicewerkruimte | service | Heeft leestoegang tot tags en producten en schrijftoegang om het volgende toe te staan: ▪️ API's toewijzen aan producten ▪️ Tags toewijzen aan producten en API's Deze rol moet worden toegewezen aan het servicebereik. |
| API-productbeheer voor API Management-servicewerkruimten | service | Heeft dezelfde toegang als API Management Service Workspace API Developer en leestoegang tot gebruikers en schrijftoegang om gebruikers toe te staan aan groepen toe te wijzen. Deze rol moet worden toegewezen aan het servicebereik. |
Aangepaste rollen
Als geen van de ingebouwde rollen aan uw specifieke behoeften voldoet, kunnen aangepaste rollen worden gemaakt om gedetailleerder toegangsbeheer voor API Management-entiteiten te bieden. U kunt bijvoorbeeld een aangepaste rol maken die alleen-lezentoegang heeft tot een API Management-service, maar alleen schrijftoegang heeft tot één specifieke API. Zie Aangepaste rollen in Azure RBAC voor meer informatie over aangepaste rollen.
Notitie
Als u een API Management-exemplaar wilt kunnen zien in Azure Portal, moet een aangepaste rol de Microsoft.ApiManagement/service/read actie bevatten.
Wanneer u een aangepaste rol maakt, is het eenvoudiger om te beginnen met een van de ingebouwde rollen. Bewerk de kenmerken om Acties, NotActions of AssignableScopes toe te voegen en sla de wijzigingen vervolgens op als een nieuwe rol. Het volgende voorbeeld begint met de rol API Management Service Reader en maakt een aangepaste rol met de naam 'Calculator-API-editor'. U kunt de aangepaste rol toewijzen aan het bereik van een specifieke API. Daarom heeft deze rol alleen toegang tot die API.
$role = Get-AzRoleDefinition "API Management Service Reader Role"
$role.Id = $null
$role.Name = 'Calculator API Contributor'
$role.Description = 'Has read access to Contoso APIM instance and write access to the Calculator API.'
$role.Actions.Add('Microsoft.ApiManagement/service/apis/write')
$role.Actions.Add('Microsoft.ApiManagement/service/apis/*/write')
$role.AssignableScopes.Clear()
$role.AssignableScopes.Add('/subscriptions/<Azure subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.ApiManagement/service/<APIM service instance name>/apis/<API name>')
New-AzRoleDefinition -Role $role
New-AzRoleAssignment -ObjectId <object ID of the user account> -RoleDefinitionName 'Calculator API Contributor' -Scope '/subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.ApiManagement/service/<APIM service instance name>/apis/<API name>'
Het artikel bewerkingen van de Resource Manager-resourceprovider bevat de lijst met machtigingen die kunnen worden verleend op API Management-niveau.
Volgende stappen
Zie de volgende artikelen voor meer informatie over op rollen gebaseerd toegangsbeheer in Azure: