Detalles para gateway de API

En este tema, se tratan los detalles de la escritura de políticas para controlar el acceso a API Gateway.

Tipos de recursos

Tipo de recurso agregado

api-gateway-family

Tipos de recursos Individuales

api-gateways
api-deployments
api-definitions
api-workrequests
api-certificates
api-sdks
api-subscribers
api-usage-plans

Comentarios

Una política que utiliza <verb> api-gateway-family equivale a escribir una política con una sentencia <verb> <individual resource-type> independiente para cada uno de los tipos de recursos individuales.

Consulte la tabla Detalles de combinaciones de verbo + tipo de recurso para obtener detalles de las operaciones de API que cubre cada verbo para cada tipo de recurso individual incluido en api-gateway-family.

Variables soportadas

API Gateway soporta todas las variables generales (consulte Variables generales para todas las solicitudes).

Detalles de combinaciones de verbo + tipo de recurso

En las siguientes tablas, se muestran los permisos y las operaciones de API que abarca cada verbo. El nivel de acceso es acumulativo al recorrer la progresión inspect > read > use > manage. Por ejemplo, un grupo que puede utilizar un recurso también puede inspeccionar y leer ese recurso. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda directamente por encima, mientras que "no extra" indica que no hay acceso incremental.

Por ejemplo, el verbo read para el tipo de recurso api-gateways incluye los mismos permisos y operaciones de API que el verbo inspect junto al permiso API_GATEWAY_READ y una serie de operaciones de API (por ejemplo, GetGateway, etc.). El verbo use abarca otros permisos y operaciones de API en comparación con read. Por último, manage abarca más permisos y operaciones en comparación con use.

api-gateways


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	API_GATEWAY_LIST	`ListGateways`	ninguna
read	INSPECT + API_GATEWAY_READ	INSPECT + `GetGateway`	`GetDeployment` (también necesita `read api-deployments`)
use	READ + API_GATEWAY_ADD_DEPLOYMENT API_GATEWAY_REMOVE_DEPLOYMENT	no extra	`CreateDeployment` y `DeleteDeployment` (ambos necesitan también `manage api-deployments`) `UpdateDeployment` (también necesita `use api-deployments`)
manage	USE + API_GATEWAY_CREATE API_GATEWAY_DELETE API_GATEWAY_UPDATE API_GATEWAY_MOVE	USE + `DeleteGateway` `UpdateGateway` `ChangeGatewayCompartment`	`CreateGateway` (también necesita `use api-certificates`)

api-deployments


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	API_DEPLOYMENT_LIST	`ListDeployments`	ninguna
read	INSPECT + API_DEPLOYMENT_READ	no extra	`GetDeployment` (también necesita `read api-gateways`)
use	READ + API_DEPLOYMENT_UPDATE	no extra	`UpdateDeployment` (también necesita `use api-gateways`)
manage	USE + API_DEPLOYMENT_CREATE API_DEPLOYMENT_DELETE API_DEPLOYMENT_MOVE	USE + `ChangeDeploymentCompartment`	`CreateDeployment` y `DeleteDeployment` (ambos necesitan también `use api-gateways`)

api-definitions


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	API_DEFINITION_LIST	`ListApis`	ninguna
read	INSPECT + API_DEFINITION_READ	INSPECT + `GetApi` `GetApiContent` `GetApiDeploymentSpecification` `GetApiValidations`	ninguna
use	READ + API_DEFINITION_UPDATE	READ + `UpdateApi`	ninguna
manage	USE + API_DEFINITION_CREATE API_DEFINITION_DELETE API_DEPLOYMENT_MOVE	USE + `CreateApi` `DeleteApi` `ChangeApiCompartment`	ninguna

api-workrequests


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	API_WORK_REQUEST_LIST	`ListWorkRequests`	ninguna
read	INSPECT + API_WORK_REQUEST_READ	INSPECT + `GetWorkRequest` `ListWorkRequestErrors` `ListWorkRequestLogs`	ninguna
use	READ + API_WORK_REQUEST_CANCEL	READ + `CancelWorkRequest`	ninguna
manage	no extra	no extra	ninguna

api-certificates


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	API_CERTIFICATE_LIST	`ListCertificates`	ninguna
read	INSPECT + API_CERTIFICATE_READ	INSPECT + `GetCertificate`	ninguna
use	READ + API_CERTIFICATE_APPLY_TO_GATEWAY	no extra	`CreateGateway` (también necesita `manage api-gateways`)
manage	USE + API_CERTIFICATE_CREATE API_CERTIFICATE_DELETE API_CERTIFICATE_UPDATE API_CERTIFICATE_MOVE	USE + CreateCertificate DeleteCertificate UpdateCertificate ChangeCertificateCompartment	ninguna

api-sdks


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	API_SDK_LIST	`ListSdks`	ninguna
read	INSPECT + API_SDK_READ	INSPECT + `GetSdk`	ninguna
use	READ + API_SDK_UPDATE	READ + `UpdateSdk`	ninguna
manage	USE + API_SDK_CREATE API_SDK_DELETE	USE + `CreateSdk` `DeleteSdk` `ListSdkLanguageTypes`	ninguna

api-subscribers


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	API_SUBSCRIBER_LIST	`ListSubscribers`	ninguna
read	INSPECT + API_SUBSCRIBER_READ	INSPECT + `GetSubscriber`	ninguna
use	READ + API_SUBSCRIBER_UPDATE	no extra	`UpdateSubscriber` (también necesita `read api-usage-plans` para actualizar los planes de uso suscritos durante la actualización del suscriptor)
manage	USE + API_SUBSCRIBER_CREATE API_SUBSCRIBER_DELETE API_SUBSCRIBER_MOVE	USE + `DeleteSubscriber` `ChangeSubscriberCompartment`	`CreateSubscriber` (también necesita `read api-usage-plans` para agregar planes de uso suscritos durante la creación del suscriptor)

api-usage-plans


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	API_USAGE_PLAN_LIST	`ListUsagePlans`	ninguna
read	INSPECT + API_USAGE_PLAN_READ	INSPECT + `GetUsagePlan`	ninguna
use	READ + API_USAGE_PLAN_UPDATE	no extra	`UpdateUsagePlan` (también necesita `read api-deployments` para actualizar los despliegues de API de destino en los derechos durante la actualización del plan de uso)
manage	USE + API_USAGE_PLAN_CREATE API_USAGE_PLAN_DELETE API_USAGE_PLAN_MOVE	USE + `DeleteUsagePlan` `ChangeUsagePlanCompartment`	`CreateUsagePlan` (también necesita`read api-deployments` para agregar despliegues de API de destino a los derechos durante la creación del plan de uso)

Permisos necesarios para cada operación de API

En la siguiente tabla, se muestran las operaciones de API en un orden lógico, agrupadas por tipo de recurso.


Operación de API	Permisos necesarios para utilizar la operación
`ListGateways`	API_GATEWAY_LIST
`CreateGateway`	API_GATEWAY_CREATE y API_CERTIFICATE_APPLY_TO_GATEWAY
`GetGateway`	API_GATEWAY_READ
`UpdateGateway`	API_GATEWAY_UPDATE
`DeleteGateway`	API_GATEWAY_DELETE
`ChangeGatewayCompartment`	API_GATEWAY_READ y API_GATEWAY_UPDATE y API_GATEWAY_MOVE
`ListDeployments`	API_DEPLOYMENT_LIST
`CreateDeployment`	API_DEPLOYMENT_CREATE, API_GATEWAY_READ y API_GATEWAY_ADD_DEPLOYMENT
`GetDeployment`	API_DEPLOYMENT_READ y API_GATEWAY_READ
`UpdateDeployment`	API_DEPLOYMENT_UPDATE, API_GATEWAY_READ y API_GATEWAY_ADD_DEPLOYMENT
`DeleteDeployment`	API_DEPLOYMENT_DELETE, API_GATEWAY_READ y API_GATEWAY_REMOVE_DEPLOYMENT
`ChangeDeploymentCompartment`	API_DEPLOYMENT_READ y API_DEPLOYMENT_UPDATE y API_DEPLOYMENT_MOVE
`ListApis`	API_DEFINITION_LIST
`CreateApi`	API_DEFINITION_CREATE
`GetApi`	API_DEFINITION_READ
`GetApiContent`	API_DEFINITION_READ
`GetApiDeploymentSpecification`	API_DEFINITION_READ
`GetApiValidations`	API_DEFINITION_READ
`UpdateApi`	API_DEFINITION_UPDATE
`DeleteApi`	API_DEFINITION_DELETE
`ChangeApiCompartment`	API_DEFINITION_MOVE
`ListWorkRequests`	API_WORK_REQUEST_LIST
`GetWorkRequest`	API_WORK_REQUEST_READ
`CancelWorkRequest`	API_WORK_REQUEST_CANCEL
`ListWorkRequestErrors`	API_WORK_REQUEST_READ
`ListWorkRequestLogs`	API_WORK_REQUEST_READ
`ListCertificates`	API_CERTIFICATE_LIST
`CreateCertificate`	API_CERTIFICATE_CREATE
`GetCertificate`	API_CERTIFICATE_READ
`UpdateCertificate`	API_CERTIFICATE_UPDATE
`DeleteCertificate`	API_CERTIFICATE_DELETE
`ChangeCertificateCompartment`	API_CERTIFICATE_MOVE
`ListSdks`	API_SDK_LIST
`GetSdk`	API_SDK_READ
`UpdateSdk`	API_SDK_UPDATE
`CreateSdk`	API_SDK_CREATE
`ListSdkLanguageTypes`	API_SDK_CREATE
`DeleteSdk`	API_SDK_DELETE
`ListSubscribers`	API_SUBSCRIBER_LIST
`GetSubscriber`	API_SUBSCRIBER_READ
`UpdateSubscriber`	API_SUBSCRIBER_UPDATE API_USAGE_PLAN_READ es necesario para actualizar los planes de uso suscritos durante la actualización del suscriptor.
`CreateSubscriber`	API_SUBSCRIBER_CREATE API_USAGE_PLAN_READ es necesario para agregar los planes de uso suscritos durante la creación del suscriptor.
`DeleteSubscriber`	API_SUBSCRIBER_DELETE
`ChangeSubscriberCompartment`	API_SUBSCRIBER_MOVE
`ListUsagePlans`	API_USAGE_PLAN_LIST
`GetUsagePlan`	API_USAGE_PLAN_READ
`UpdateUsagePlan`	API_USAGE_PLAN_UPDATE API_DEPLOYMENT_READ es necesario para actualizar los despliegues de API de destino en los derechos durante la actualización del plan de uso.
`CreateUsagePlan`	API_USAGE_PLAN_CREATE API_DEPLOYMENT_READ es necesario para agregar los despliegues de API de destino en los derechos durante la creación del plan de uso.
`DeleteUsagePlan`	API_USAGE_PLAN_DELETE
`ChangeUsagePlanCompartment`	API_USAGE_PLAN_MOVE

Documentación de Oracle Cloud Infrastructure