APIゲートウェイの詳細

このトピックでは、APIゲートウェイへのアクセスを制御するポリシーの記述の詳細を説明します。

リソース・タイプ

集約リソース・タイプ

api-gateway-family

個々のリソース・タイプ

api-gateways
api-deployments
api-definitions
api-workrequests
api-certificates
api-sdks
api-subscribers
api-usage-plans

ポリシーで<verb> api-gateway-familyを使用することは、個々のリソース・タイプごとに個別の<verb> <individual resource-type>ステートメントを使用してポリシーを記述することと同じです。

api-gateway-familyに含まれる個々のリソース・タイプについて、各動詞でカバーされているAPI操作の詳細は、動詞とリソース・タイプの組合せの詳細の表を参照してください。

サポートされている変数

APIゲートウェイでは、すべての一般的な変数がサポートされています(すべてのリクエストの一般的な変数を参照)。

動詞とリソース・タイプの組合せの詳細

次の表に、各動詞でカバーされている権限およびAPI操作を示します。アクセス・レベルは、inspect > read > use > manageの順に累積されます。たとえば、リソースを使用できるグループは、そのリソースを検査して読み取ることもできます。表セル内のプラス記号(+)は、その上のセルと比較して増分アクセスを示しますが、「余分なし」は増分アクセスを示しません

たとえば、api-gatewaysリソース・タイプに対するread動詞には、inspect動詞と同じ権限およびAPI操作に加え、API_GATEWAY_READ権限と多数のAPI操作(GetGatewayなど)が含まれます。use動詞は、readにはない追加の権限とAPI操作をカバーします。最後に、manageではuseと比較してより多くの権限および操作をカバーします。

api-gateways


動詞	権限	完全に対象となるAPI	部分的に対象となるAPI
inspect	API_GATEWAY_LIST	`ListGateways`	なし
read	INSPECT + API_GATEWAY_READ	INSPECT + `GetGateway`	`GetDeployment` (`read api-deployments`も必要)
use	READ + API_GATEWAY_ADD_DEPLOYMENT API_GATEWAY_REMOVE_DEPLOYMENT	余分なし	`CreateDeployment`および`DeleteDeployment` (両方とも`manage api-deployments`も必要) `UpdateDeployment` (`use api-deployments`も必要)
manage	USE + API_GATEWAY_CREATE API_GATEWAY_DELETE API_GATEWAY_UPDATE API_GATEWAY_MOVE	USE + `DeleteGateway` `UpdateGateway` `ChangeGatewayCompartment`	`CreateGateway` (`use api-certificates`も必要)

api-deployments


動詞	権限	完全に対象となるAPI	部分的に対象となるAPI
inspect	API_DEPLOYMENT_LIST	`ListDeployments`	なし
read	INSPECT + API_DEPLOYMENT_READ	余分なし	`GetDeployment` (`read api-gateways`も必要)
use	READ + API_DEPLOYMENT_UPDATE	余分なし	`UpdateDeployment` (`use api-gateways`も必要)
manage	USE + API_DEPLOYMENT_CREATE API_DEPLOYMENT_DELETE API_DEPLOYMENT_MOVE	USE + `ChangeDeploymentCompartment`	`CreateDeployment`および`DeleteDeployment` (両方とも`use api-gateways`も必要)

api-definitions


動詞	権限	完全に対象となるAPI	部分的に対象となるAPI
inspect	API_DEFINITION_LIST	`ListApis`	なし
read	INSPECT + API_DEFINITION_READ	INSPECT + `GetApi` `GetApiContent` `GetApiDeploymentSpecification` `GetApiValidations`	なし
use	READ + API_DEFINITION_UPDATE	READ + `UpdateApi`	なし
manage	USE + API_DEFINITION_CREATE API_DEFINITION_DELETE API_DEPLOYMENT_MOVE	USE + `CreateApi` `DeleteApi` `ChangeApiCompartment`	なし

api-workrequests


動詞	権限	完全に対象となるAPI	部分的に対象となるAPI
inspect	API_WORK_REQUEST_LIST	`ListWorkRequests`	なし
read	INSPECT + API_WORK_REQUEST_READ	INSPECT + `GetWorkRequest` `ListWorkRequestErrors` `ListWorkRequestLogs`	なし
use	READ + API_WORK_REQUEST_CANCEL	READ + `CancelWorkRequest`	なし
manage	余分なし	余分なし	なし

api-certificates


動詞	権限	完全に対象となるAPI	部分的に対象となるAPI
inspect	API_CERTIFICATE_LIST	`ListCertificates`	なし
read	INSPECT + API_CERTIFICATE_READ	INSPECT + `GetCertificate`	なし
use	READ + API_CERTIFICATE_APPLY_TO_GATEWAY	余分なし	`CreateGateway` (`manage api-gateways`も必要)
manage	USE + API_CERTIFICATE_CREATE API_CERTIFICATE_DELETE API_CERTIFICATE_UPDATE API_CERTIFICATE_MOVE	USE + CreateCertificate DeleteCertificate UpdateCertificate ChangeCertificateCompartment	なし

api-sdks


動詞	権限	完全に対象となるAPI	部分的に対象となるAPI
inspect	API_SDK_LIST	`ListSdks`	なし
read	INSPECT + API_SDK_READ	INSPECT + `GetSdk`	なし
use	READ + API_SDK_UPDATE	READ + `UpdateSdk`	なし
manage	USE + API_SDK_CREATE API_SDK_DELETE	USE + `CreateSdk` `DeleteSdk` `ListSdkLanguageTypes`	なし

api-subscribers


動詞	権限	完全に対象となるAPI	部分的に対象となるAPI
inspect	API_SUBSCRIBER_LIST	`ListSubscribers`	なし
read	INSPECT + API_SUBSCRIBER_READ	INSPECT + `GetSubscriber`	なし
use	READ + API_SUBSCRIBER_UPDATE	余分なし	`UpdateSubscriber` (サブスクライバの更新中にサブスクライブ済の使用プランを更新するには、`read api-usage-plans`も必要)
manage	USE + API_SUBSCRIBER_CREATE API_SUBSCRIBER_DELETE API_SUBSCRIBER_MOVE	USE + `DeleteSubscriber` `ChangeSubscriberCompartment`	`CreateSubscriber` (サブスクライバの作成中にサブスクライブ済の使用プランを追加するには、`read api-usage-plans`も必要)

api-usage-plans


動詞	権限	完全に対象となるAPI	部分的に対象となるAPI
inspect	API_USAGE_PLAN_LIST	`ListUsagePlans`	なし
read	INSPECT + API_USAGE_PLAN_READ	INSPECT + `GetUsagePlan`	なし
use	READ + API_USAGE_PLAN_UPDATE	余分なし	`UpdateUsagePlan` (使用プランの更新中に資格のターゲットAPIデプロイメントを更新するには、`read api-deployments`も必要)
manage	USE + API_USAGE_PLAN_CREATE API_USAGE_PLAN_DELETE API_USAGE_PLAN_MOVE	USE + `DeleteUsagePlan` `ChangeUsagePlanCompartment`	`CreateUsagePlan` (使用プランの作成中に資格にターゲットAPIデプロイメントを追加するには、`read api-deployments`も必要)

各API操作に必要な権限

次の表は、API操作を論理的な順序で、リソース・タイプ別にグループ化して示しています。


API操作	操作の使用に必要な権限
`ListGateways`	API_GATEWAY_LIST
`CreateGateway`	API_GATEWAY_CREATEおよびAPI_CERTIFICATE_APPLY_TO_GATEWAY
`GetGateway`	API_GATEWAY_READ
`UpdateGateway`	API_GATEWAY_UPDATE
`DeleteGateway`	API_GATEWAY_DELETE
`ChangeGatewayCompartment`	API_GATEWAY_READ、API_GATEWAY_UPDATEおよびAPI_GATEWAY_MOVE
`ListDeployments`	API_DEPLOYMENT_LIST
`CreateDeployment`	API_DEPLOYMENT_CREATE、API_GATEWAY_READおよびAPI_GATEWAY_ADD_DEPLOYMENT
`GetDeployment`	API_DEPLOYMENT_READおよびAPI_GATEWAY_READ
`UpdateDeployment`	API_DEPLOYMENT_UPDATE、API_GATEWAY_READおよびAPI_GATEWAY_ADD_DEPLOYMENT
`DeleteDeployment`	API_DEPLOYMENT_DELETE、API_GATEWAY_READおよびAPI_GATEWAY_REMOVE_DEPLOYMENT
`ChangeDeploymentCompartment`	API_DEPLOYMENT_READ、API_DEPLOYMENT_UPDATEおよびAPI_DEPLOYMENT_MOVE
`ListApis`	API_DEFINITION_LIST
`CreateApi`	API_DEFINITION_CREATE
`GetApi`	API_DEFINITION_READ
`GetApiContent`	API_DEFINITION_READ
`GetApiDeploymentSpecification`	API_DEFINITION_READ
`GetApiValidations`	API_DEFINITION_READ
`UpdateApi`	API_DEFINITION_UPDATE
`DeleteApi`	API_DEFINITION_DELETE
`ChangeApiCompartment`	API_DEFINITION_MOVE
`ListWorkRequests`	API_WORK_REQUEST_LIST
`GetWorkRequest`	API_WORK_REQUEST_READ
`CancelWorkRequest`	API_WORK_REQUEST_CANCEL
`ListWorkRequestErrors`	API_WORK_REQUEST_READ
`ListWorkRequestLogs`	API_WORK_REQUEST_READ
`ListCertificates`	API_CERTIFICATE_LIST
`CreateCertificate`	API_CERTIFICATE_CREATE
`GetCertificate`	API_CERTIFICATE_READ
`UpdateCertificate`	API_CERTIFICATE_UPDATE
`DeleteCertificate`	API_CERTIFICATE_DELETE
`ChangeCertificateCompartment`	API_CERTIFICATE_MOVE
`ListSdks`	API_SDK_LIST
`GetSdk`	API_SDK_READ
`UpdateSdk`	API_SDK_UPDATE
`CreateSdk`	API_SDK_CREATE
`ListSdkLanguageTypes`	API_SDK_CREATE
`DeleteSdk`	API_SDK_DELETE
`ListSubscribers`	API_SUBSCRIBER_LIST
`GetSubscriber`	API_SUBSCRIBER_READ
`UpdateSubscriber`	API_SUBSCRIBER_UPDATE API_USAGE_PLAN_READは、サブスクライバの更新中にサブスクライブ済の使用プランを更新するために必要です。
`CreateSubscriber`	API_SUBSCRIBER_CREATE API_USAGE_PLAN_READは、サブスクライバの作成中にサブスクライブ済の使用プランを追加するために必要です。
`DeleteSubscriber`	API_SUBSCRIBER_DELETE
`ChangeSubscriberCompartment`	API_SUBSCRIBER_MOVE
`ListUsagePlans`	API_USAGE_PLAN_LIST
`GetUsagePlan`	API_USAGE_PLAN_READ
`UpdateUsagePlan`	API_USAGE_PLAN_UPDATE API_DEPLOYMENT_READは、使用プランの更新中に資格のターゲットAPIデプロイメントを更新するために必要です。
`CreateUsagePlan`	API_USAGE_PLAN_CREATE API_DEPLOYMENT_READは、使用プランの作成中に資格にターゲットAPIデプロイメントを追加するために必要です。
`DeleteUsagePlan`	API_USAGE_PLAN_DELETE
`ChangeUsagePlanCompartment`	API_USAGE_PLAN_MOVE

Oracle Cloud Infrastructureドキュメント