APIゲートウェイの詳細
このトピックでは、APIゲートウェイへのアクセスを制御するポリシーの記述の詳細を説明します。
リソース・タイプ
集約リソース・タイプ
api-gateway-family
個々のリソース・タイプ
api-gatewaysapi-deploymentsapi-definitionsapi-workrequestsapi-certificatesapi-sdksapi-subscribersapi-usage-plans
コメント
ポリシーで<verb> api-gateway-familyを使用することは、個々のリソース・タイプごとに個別の<verb> <individual resource-type>ステートメントを使用してポリシーを記述することと同じです。
api-gateway-familyに含まれる個々のリソース・タイプについて、各動詞でカバーされているAPI操作の詳細は、動詞とリソース・タイプの組合せの詳細の表を参照してください。
サポートされている変数
APIゲートウェイでは、すべての一般的な変数がサポートされています(すべてのリクエストの一般的な変数を参照)。
動詞とリソース・タイプの組合せの詳細
次の表に、各動詞でカバーされている権限およびAPI操作を示します。アクセス・レベルは、inspect > read > use > manageの順に累積されます。たとえば、リソースを使用できるグループは、そのリソースを検査して読み取ることもできます。表セル内のプラス記号(+)は、その上のセルと比較して増分アクセスを示しますが、「余分なし」は増分アクセスを示しません
たとえば、api-gatewaysリソース・タイプに対するread動詞には、inspect動詞と同じ権限およびAPI操作に加え、API_GATEWAY_READ権限と多数のAPI操作(GetGatewayなど)が含まれます。use動詞は、readにはない追加の権限とAPI操作をカバーします。最後に、manageではuseと比較してより多くの権限および操作をカバーします。
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | API_GATEWAY_LIST |
ListGateways
|
なし |
| read | INSPECT + API_GATEWAY_READ |
INSPECT +
|
GetDeployment (read api-deploymentsも必要)
|
| use | READ + API_GATEWAY_ADD_DEPLOYMENT API_GATEWAY_REMOVE_DEPLOYMENT |
余分なし |
|
| manage | USE + API_GATEWAY_CREATE API_GATEWAY_DELETE API_GATEWAY_UPDATE API_GATEWAY_MOVE |
USE +
|
|
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | API_DEPLOYMENT_LIST |
ListDeployments
|
なし |
| read | INSPECT + API_DEPLOYMENT_READ |
余分なし |
GetDeployment (read api-gatewaysも必要)
|
| use | READ + API_DEPLOYMENT_UPDATE |
余分なし |
UpdateDeployment (use api-gatewaysも必要)
|
| manage | USE + API_DEPLOYMENT_CREATE API_DEPLOYMENT_DELETE API_DEPLOYMENT_MOVE |
USE + ChangeDeploymentCompartment
|
CreateDeploymentおよびDeleteDeployment (両方ともuse api-gatewaysも必要)
|
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | API_DEFINITION_LIST |
ListApis
|
なし |
| read | INSPECT + API_DEFINITION_READ |
INSPECT +
|
なし |
| use | READ + API_DEFINITION_UPDATE |
READ +
|
なし |
| manage | USE + API_DEFINITION_CREATE API_DEFINITION_DELETE API_DEPLOYMENT_MOVE |
USE +
|
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | API_WORK_REQUEST_LIST |
ListWorkRequests
|
なし |
| read | INSPECT + API_WORK_REQUEST_READ |
INSPECT +
|
なし |
| use | READ + API_WORK_REQUEST_CANCEL |
READ +
|
なし |
| manage | 余分なし |
余分なし |
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | API_CERTIFICATE_LIST |
ListCertificates
|
なし |
| read | INSPECT + API_CERTIFICATE_READ |
INSPECT +
|
なし |
| use | READ + API_CERTIFICATE_APPLY_TO_GATEWAY |
余分なし |
|
| manage | USE + API_CERTIFICATE_CREATE API_CERTIFICATE_DELETE API_CERTIFICATE_UPDATE API_CERTIFICATE_MOVE |
USE + CreateCertificate DeleteCertificate UpdateCertificate ChangeCertificateCompartment |
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | API_SDK_LIST |
ListSdks
|
なし |
| read | INSPECT + API_SDK_READ |
INSPECT +
|
なし |
| use | READ + API_SDK_UPDATE |
READ +
|
なし |
| manage | USE + API_SDK_CREATE API_SDK_DELETE |
USE +
|
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect |
API_SUBSCRIBER_LIST |
ListSubscribers
|
なし |
| read |
INSPECT + API_SUBSCRIBER_READ |
INSPECT +
|
なし |
| use |
READ + API_SUBSCRIBER_UPDATE |
余分なし |
UpdateSubscriber (サブスクライバの更新中にサブスクライブ済の使用プランを更新するには、read api-usage-plansも必要) |
| manage |
USE + API_SUBSCRIBER_CREATE API_SUBSCRIBER_DELETE API_SUBSCRIBER_MOVE |
USE +
|
|
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect |
API_USAGE_PLAN_LIST |
ListUsagePlans
|
なし |
| read |
INSPECT + API_USAGE_PLAN_READ |
INSPECT +
|
なし |
| use |
READ + API_USAGE_PLAN_UPDATE |
余分なし |
UpdateUsagePlan (使用プランの更新中に資格のターゲットAPIデプロイメントを更新するには、read api-deploymentsも必要) |
| manage |
USE + API_USAGE_PLAN_CREATE API_USAGE_PLAN_DELETE API_USAGE_PLAN_MOVE |
USE +
|
|
各API操作に必要な権限
次の表は、API操作を論理的な順序で、リソース・タイプ別にグループ化して示しています。権限の詳細は、権限を参照してください。
| API操作 | 操作の使用に必要な権限 |
|---|---|
ListGateways
|
API_GATEWAY_LIST |
CreateGateway
|
API_GATEWAY_CREATEおよびAPI_CERTIFICATE_APPLY_TO_GATEWAY |
GetGateway
|
API_GATEWAY_READ |
UpdateGateway
|
API_GATEWAY_UPDATE |
DeleteGateway
|
API_GATEWAY_DELETE |
ChangeGatewayCompartment
|
API_GATEWAY_READ、API_GATEWAY_UPDATEおよびAPI_GATEWAY_MOVE |
ListDeployments
|
API_DEPLOYMENT_LIST |
CreateDeployment
|
API_DEPLOYMENT_CREATE、API_GATEWAY_READおよびAPI_GATEWAY_ADD_DEPLOYMENT |
GetDeployment
|
API_DEPLOYMENT_READおよびAPI_GATEWAY_READ |
UpdateDeployment
|
API_DEPLOYMENT_UPDATE、API_GATEWAY_READおよびAPI_GATEWAY_ADD_DEPLOYMENT |
DeleteDeployment
|
API_DEPLOYMENT_DELETE、API_GATEWAY_READおよびAPI_GATEWAY_REMOVE_DEPLOYMENT |
ChangeDeploymentCompartment
|
API_DEPLOYMENT_READ、API_DEPLOYMENT_UPDATEおよびAPI_DEPLOYMENT_MOVE |
ListApis |
API_DEFINITION_LIST |
CreateApi |
API_DEFINITION_CREATE |
GetApi |
API_DEFINITION_READ |
GetApiContent |
API_DEFINITION_READ |
GetApiDeploymentSpecification |
API_DEFINITION_READ |
GetApiValidations |
API_DEFINITION_READ |
UpdateApi |
API_DEFINITION_UPDATE |
DeleteApi |
API_DEFINITION_DELETE |
ChangeApiCompartment |
API_DEFINITION_MOVE |
ListWorkRequests
|
API_WORK_REQUEST_LIST |
GetWorkRequest
|
API_WORK_REQUEST_READ |
CancelWorkRequest
|
API_WORK_REQUEST_CANCEL |
ListWorkRequestErrors
|
API_WORK_REQUEST_READ |
ListWorkRequestLogs
|
API_WORK_REQUEST_READ |
ListCertificates |
API_CERTIFICATE_LIST |
CreateCertificate |
API_CERTIFICATE_CREATE |
GetCertificate |
API_CERTIFICATE_READ |
UpdateCertificate |
API_CERTIFICATE_UPDATE |
DeleteCertificate |
API_CERTIFICATE_DELETE |
ChangeCertificateCompartment |
API_CERTIFICATE_MOVE |
ListSdks |
API_SDK_LIST |
GetSdk |
API_SDK_READ |
UpdateSdk |
API_SDK_UPDATE |
CreateSdk |
API_SDK_CREATE |
ListSdkLanguageTypes |
API_SDK_CREATE |
DeleteSdk |
API_SDK_DELETE |
ListSubscribers |
API_SUBSCRIBER_LIST |
GetSubscriber |
API_SUBSCRIBER_READ |
UpdateSubscriber |
API_SUBSCRIBER_UPDATE API_USAGE_PLAN_READは、サブスクライバの更新中にサブスクライブ済の使用プランを更新するために必要です。 |
CreateSubscriber |
API_SUBSCRIBER_CREATE API_USAGE_PLAN_READは、サブスクライバの作成中にサブスクライブ済の使用プランを追加するために必要です。 |
DeleteSubscriber |
API_SUBSCRIBER_DELETE |
ChangeSubscriberCompartment |
API_SUBSCRIBER_MOVE |
ListUsagePlans |
API_USAGE_PLAN_LIST |
GetUsagePlan |
API_USAGE_PLAN_READ |
UpdateUsagePlan |
API_USAGE_PLAN_UPDATE API_DEPLOYMENT_READは、使用プランの更新中に資格のターゲットAPIデプロイメントを更新するために必要です。 |
CreateUsagePlan |
API_USAGE_PLAN_CREATE API_DEPLOYMENT_READは、使用プランの作成中に資格にターゲットAPIデプロイメントを追加するために必要です。 |
DeleteUsagePlan |
API_USAGE_PLAN_DELETE |
ChangeUsagePlanCompartment |
API_USAGE_PLAN_MOVE |