Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
UYGULANANLAR: Tüm API Management katmanları
Azure API Management, API Management hizmetleri ve çalışma alanları dahil varlıklar için ayrıntılı erişim yönetimi sağlamak için Azure rol tabanlı erişim denetimine (Azure RBAC) dayanır. Bu makale, API Management'taki yerleşik ve özel rollere genel bir bakış sağlar. Azure portalında erişim yönetimi hakkında daha fazla bilgi için bkz . Azure portalında erişim yönetimini kullanmaya başlama.
Not
Azure ile etkileşim kurmak için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz. Azure PowerShell'i yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.
Yerleşik hizmet rolleri
API Management şu anda üç yerleşik hizmet rolü sağlar. Bu roller abonelik, kaynak grubu ve bağımsız API Management örneği gibi farklı kapsamlarda atanabilir. Örneğin, bir kullanıcıya kaynak grubu düzeyinde "API Management Hizmet Okuyucusu" rolünü atarsanız, kullanıcının kaynak grubu içindeki tüm API Management örneklerine okuma erişimi olur.
Aşağıdaki tabloda yerleşik rollerin kısa açıklamaları yer alır. Azure portalını veya Azure PowerShell, Azure CLI ve REST API gibi diğer araçları kullanarak bu rolleri atayabilirsiniz. Yerleşik rolleri atama yöntemleri hakkında ayrıntılı bilgi için Azure abonelik kaynaklarınıza erişimi yönetmek üzere Azure rolleri atama sayfasına bakın.
| Rol | Okuma erişimi[1] | Yazma erişimi[2] | Hizmet oluşturma, silme, ölçeklendirme, VPN ve özel etki alanı yapılandırması | Eski yayımcı portalına erişim | Açıklama |
|---|---|---|---|---|---|
| API Management Hizmeti Katılımcısı | ✓ | ✓ | ✓ | ✓ | Süper kullanıcı. API Management hizmetlerine ve varlıklarına (örneğin, API'ler ve ilkeler) tam CRUD erişimi vardır. Eski yayımcı portalına erişimi vardır. |
| API Management Hizmet Okuyucusu | ✓ | API Management varlıklarına ve hizmetlerine salt okunur erişimi vardır. | |||
| API Management Hizmet Operatörü | ✓ | ✓ | API Management hizmetlerini yönetebilir, ancak varlıkları yönetemez. |
[1] API Management varlıklarına ve hizmetlerine (örneğin, API'ler ve ilkeler) okuma erişimi.
[2] Aşağıdaki işlemler dışında API Management hizmetlerine ve varlıklarına yazma erişimi: örnek oluşturma, silme ve ölçeklendirme; VPN yapılandırması; ve özel etki alanı kurulumu.
Yerleşik çalışma alanı rolleri
API Management, bir API Management örneğindeki çalışma alanlarında ortak çalışanlar için aşağıdaki yerleşik rolleri sağlar.
Çalışma alanı işbirlikçisine, hem çalışma alanı ile ilgili bir rol hem de hizmet ile ilgili bir rol atanmalıdır.
| Rol | Scope | Açıklama |
|---|---|---|
| API Yönetimi Çalışma Alanı Katılımcısı | çalışma alanı | Çalışma alanını yönetebilir ve görüntüleyebilir, ancak üyelerini değiştiremez. Bu rol çalışma alanı kapsamında atanmalıdır. |
| API Management Çalışma Alanı Okuyucusu | çalışma alanı | Çalışma alanında varlıklara salt okunur erişime sahiptir. Bu rol çalışma alanı kapsamında atanmalıdır. |
| API Management Çalışma Alanı API Geliştiricisi | çalışma alanı | Çalışma alanındaki varlıklara okuma erişimine sahiptir ve API'leri düzenlemek üzere varlıklar üzerinde okuma ve yazma erişimi vardır. Bu rol çalışma alanı kapsamında atanmalıdır. |
| API Management Çalışma Alanı API Ürün Yöneticisi | çalışma alanı | Çalışma alanındaki varlıklara okuma erişim yetkisine ve API yayımlamak için varlıklara okuma ve yazma erişim yetkisine sahiptir. Bu rol çalışma alanı kapsamında atanmalıdır. |
| API Management Hizmeti Çalışma Alanı API Geliştiricisi | hizmet | Etiketlere ve ürünlere okuma erişimine ve izin vermek için yazma erişimine sahiptir: ▪️ Api'leri ürünlere atama ▪️ Ürünlere ve API'lere etiket atama Bu rol hizmet kapsamında atanmalıdır. |
| API Management Hizmeti Çalışma Alanı API Ürün Yöneticisi | hizmet | API Management Hizmeti Çalışma Alanı API Geliştiricisi ile aynı erişimin yanı sıra kullanıcılara okuma iznine ve gruplara kullanıcı atamaya izin vermek için yazma iznine sahiptir. Bu rol hizmet kapsamında atanmalıdır. |
Çalışma alanı ortak çalışanlarının çalışma alanını nasıl kullandığına veya yönettiğine bağlı olarak, çalışma alanı ağ geçidi kapsamında aşağıdaki Azure tarafından sağlanan RBAC rollerinden birini atamanızı öneririz: Okuyucu, Katkıda Bulunan veya Sahip.
Yerleşik geliştirici portalı rolleri
| Rol | Scope | Açıklama |
|---|---|---|
| API Management Geliştirici Portalı İçerik Düzenleyicisi | hizmet | Geliştirici portalını özelleştirebilir, içeriğini düzenleyebilir ve Azure Resource Manager API'lerini kullanarak yayımlayabilir. |
Özel roller
Yerleşik rollerden hiçbiri gereksinimlerinizi karşılamıyorsa, API Management varlıkları için daha ayrıntılı erişim yönetimi sağlamak üzere özel roller oluşturulabilir. Örneğin, API Management hizmetine salt okunur erişimi olan ancak yalnızca belirli bir API'ye yazma erişimi olan özel bir rol oluşturabilirsiniz. Özel roller hakkında daha fazla bilgi edinmek için bkz: Azure RBAC'de Özel Roller.
Not
Azure portalında API Management örneğini görebilmek için, özel bir rolün Microsoft.ApiManagement/service/read eylemini içermesi gerekir.
Özel bir rol oluşturduğunuzda, yerleşik rollerden biriyle başlamak daha kolaydır. Öznitelikleri düzenleyip Actions, NotActions veya AssignableScopes ekleyin ve ardından değişiklikleri yeni bir rol olarak kaydedin. Aşağıdaki örnek "API Management Hizmet Okuyucusu" rolüyle başlar ve "Hesap Makinesi API Düzenleyicisi" adlı özel bir rol oluşturur. Özel rolü belirli bir API kapsamında atayabilirsiniz. Sonuç olarak, bu rol yalnızca bu API'ye erişebilir.
$role = Get-AzRoleDefinition "API Management Service Reader Role"
$role.Id = $null
$role.Name = 'Calculator API Contributor'
$role.Description = 'Has read access to Contoso APIM instance and write access to the Calculator API.'
$role.Actions.Add('Microsoft.ApiManagement/service/apis/write')
$role.Actions.Add('Microsoft.ApiManagement/service/apis/*/write')
$role.AssignableScopes.Clear()
$role.AssignableScopes.Add('/subscriptions/<Azure subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.ApiManagement/service/<APIM service instance name>/apis/<API name>')
New-AzRoleDefinition -Role $role
New-AzRoleAssignment -ObjectId <object ID of the user account> -RoleDefinitionName 'Calculator API Contributor' -Scope '/subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.ApiManagement/service/<APIM service instance name>/apis/<API name>'
Azure Resource Manager kaynak sağlayıcısı işlemleri makalesi, API Management düzeyinde verilebilen izinlerin listesini içerir.
İlgili içerik
Azure'da rol tabanlı erişim denetimi hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın: