Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
VAN TOEPASSING OP: Alle API Management-niveaus
Azure API Management is afhankelijk van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om gedetailleerd toegangsbeheer mogelijk te maken voor API Management-services en -entiteiten (bijvoorbeeld API's en beleidsregels). In dit artikel vindt u een overzicht van de ingebouwde en aangepaste rollen in API Management. Raadpleeg Aan de slag met toegangsbeheer in de Azure-portal voor meer informatie over toegangsbeheer in de Azure-portal.
Notitie
Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.
Ingebouwde servicerollen
API Management biedt momenteel drie ingebouwde rollen en voegt in de nabije toekomst nog twee rollen toe. Deze rollen kunnen worden toegewezen op verschillende niveaus, waaronder abonnementsniveau, resourcegroep en individuele API Management-instantie. Als u bijvoorbeeld de rol API Management-servicelezer toewijst aan een gebruiker op het niveau van de resourcegroep, heeft de gebruiker leestoegang tot alle API Management-exemplaren in de resourcegroep.
De volgende tabel bevat korte beschrijvingen van de ingebouwde rollen. U kunt deze rollen toewijzen met behulp van Azure Portal of andere hulpprogramma's, waaronder Azure PowerShell, Azure CLI en REST API. Zie Azure-rollen toewijzen om de toegang tot uw Azure-abonnementsbronnen te beheren voor meer informatie over het toewijzen van ingebouwde rollen.
| Rol | Leestoegang[1] | Schrijftoegang[2] | Service maken, verwijderen, schalen, VPN en aangepaste domeinconfiguratie | Toegang tot de verouderde uitgeversportal | Beschrijving |
|---|---|---|---|---|---|
| Inzender voor API Management-services | ✓ | ✓ | ✓ | ✓ | Supergebruiker. Heeft volledige CRUD-toegang tot API Management-services en -entiteiten (bijvoorbeeld API's en beleidsregels). Heeft toegang tot de verouderde uitgeversportal. |
| Lezer van de API-beheerservice | ✓ | Heeft alleen-lezentoegang tot API Management-services en -entiteiten. | |||
| API-beheer Service Operator | ✓ | ✓ | Kan API Management-services beheren, maar geen entiteiten. |
[1] Leestoegang tot API Management-services en -entiteiten (bijvoorbeeld API's en beleid).
[2] Schrijf toegang tot API Management-services en -entiteiten, met uitzondering van de volgende bewerkingen: het maken, verwijderen en schalen van exemplaren; VPN-configuratie; en het instellen van aangepaste domeinen.
Ingebouwde werkruimterollen
API Management biedt de volgende ingebouwde rollen voor medewerkers in werkruimten in een API Management-exemplaar.
Aan een medewerker van een werkruimte moet zowel een rol op werkruimte-niveau als een rol op service-niveau worden toegewezen.
| Rol | Bereik | Beschrijving |
|---|---|---|
| Inzender voor API Management-werkruimte | werkruimte | Kan de werkruimte beheren en bekijken, maar de leden ervan niet wijzigen. Deze rol moet worden toegewezen binnen de werkruimte. |
| Api Management-werkruimtelezer | werkruimte | Heeft alleen leesrechten voor objecten in de werkruimte. Deze rol moet op het niveau van de werkruimte worden toegewezen. |
| API-ontwikkelaar voor API Management-werkruimte | werkruimte | Heeft leestoegang tot entiteiten in de werkruimte en lees- en schrijftoegang tot entiteiten voor het bewerken van API's. Deze rol moet worden toegewezen aan het werkruimtebereik. |
| API Management Werkruimte API-Productmanager | werkruimte | Heeft leestoegang tot entiteiten in de werkruimte en lees- en schrijftoegang tot entiteiten voor het publiceren van API's. Deze rol moet worden toegewezen op het niveau van de werkruimte. |
| API-ontwikkelaar voor API Management-servicewerkruimte | service | Heeft leestoegang tot tags en producten en schrijftoegang om het volgende toe te staan: ▪️ API's toewijzen aan producten ▪️ Tags toewijzen aan producten en API's Deze rol moet worden toegewezen binnen de service scope. |
| API-productbeheer voor API Management-servicewerkruimten | dienst | Heeft dezelfde toegang als API Management Service Workspace API Developer en leestoegang tot gebruikers en schrijftoegang om gebruikers toe te staan aan groepen toe te wijzen. Deze rol moet worden toegewezen binnen de omvang van de service. |
Afhankelijk van hoe werkruimtecollaborateurs de werkruimte gebruiken of beheren, raden we u aan ook een van de volgende door Azure geleverde RBAC-rollen toe te wijzen op het niveau van de werkruimtegateway: Lezer, Bijdrager of Eigenaar.
Ingebouwde rollen voor ontwikkelaarsportal
| Rol | Bereik | Beschrijving |
|---|---|---|
| Inhoudseditor voor API Management-ontwikkelaarsportal | dienst | Kan de ontwikkelaarsportal aanpassen, de inhoud ervan bewerken en publiceren met behulp van Azure Resource Manager-API's. |
Aangepaste rollen
Als geen van de ingebouwde rollen aan uw specifieke behoeften voldoet, kunnen aangepaste rollen worden gemaakt om gedetailleerder toegangsbeheer voor API Management-entiteiten te bieden. U kunt bijvoorbeeld een aangepaste rol maken die alleen-lezentoegang heeft tot een API Management-service, maar alleen schrijftoegang heeft tot één specifieke API. Zie Aangepaste rollen in Azure RBAC voor meer informatie over aangepaste rollen.
Notitie
Als u een API Management-exemplaar wilt kunnen zien in Azure Portal, moet een aangepaste rol de Microsoft.ApiManagement/service/read actie bevatten.
Wanneer u een aangepaste rol maakt, is het eenvoudiger om te beginnen met een van de ingebouwde rollen. Bewerk de kenmerken om Acties, NotActions of AssignableScopes toe te voegen en sla de wijzigingen vervolgens op als een nieuwe rol. Het volgende voorbeeld begint met de rol API Management Service Reader en maakt een aangepaste rol met de naam 'Calculator-API-editor'. U kunt de aangepaste rol toewijzen aan het bereik van een specifieke API. Daarom heeft deze rol alleen toegang tot die API.
$role = Get-AzRoleDefinition "API Management Service Reader Role"
$role.Id = $null
$role.Name = 'Calculator API Contributor'
$role.Description = 'Has read access to Contoso APIM instance and write access to the Calculator API.'
$role.Actions.Add('Microsoft.ApiManagement/service/apis/write')
$role.Actions.Add('Microsoft.ApiManagement/service/apis/*/write')
$role.AssignableScopes.Clear()
$role.AssignableScopes.Add('/subscriptions/<Azure subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.ApiManagement/service/<APIM service instance name>/apis/<API name>')
New-AzRoleDefinition -Role $role
New-AzRoleAssignment -ObjectId <object ID of the user account> -RoleDefinitionName 'Calculator API Contributor' -Scope '/subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.ApiManagement/service/<APIM service instance name>/apis/<API name>'
Het Azure Resource Manager resourceprovider-bewerkingen artikel bevat de lijst met permissies die op het niveau van API Management kunnen worden toegekend.
Verwante inhoud
Zie de volgende artikelen voor meer informatie over op rollen gebaseerd toegangsbeheer in Azure: