API Gateway API 访问权限概览
本页面介绍了 API Gateway 中提供的 API 访问权限控制选项。
概览
API Gateway 使用 Identity and Access Management (IAM) 来控制对 API 的访问权限。您可以在项目级层和服务使用方级层授予对 API 的访问权限。例如,您可以执行以下操作:
- 向 API 用户授予访问权限,以便他们可以在自己的Google Cloud 项目中启用您的 API。
- 允许主账号查看所有 API Gateway 资源。
- 允许主账号创建、更新或删除 API Gateway 资源。
控制对服务和资源的访问权限的角色
您可以在 Google Cloud 控制台中访问 API 网关 > API 或网关详情页面,在权限面板查看和授予角色。您也可以使用 API 或 Google Cloud CLI 授予角色。
| IAM 角色名称 | 角色称谓 | 说明 | 
|---|---|---|
| roles/servicemanagement.serviceConsumer | Service Consumer | Google 账号、Google 群组或服务账号在自己的项目中查看和启用 API 的权限。如需了解此角色,请参阅 Service Management API 访问权限控制主题。 | 
| roles/apigateway.viewer | API Gateway Viewer | 拥有对 API 网关及其相关资源的只读权限。此角色包含获取和列出 API、API 配置、网关和位置的权限。 | 
| roles/apigateway.admin | API Gateway Admin | 拥有对 API 网关及其相关资源的完全访问权限。此角色包含获取、创建、更新和删除 API、API 配置、网关和位置的权限。 | 
API Gateway 权限和角色
下表列出了授予对 API Gateway 资源的访问权限及其关联权限的项目级角色:
| 角色 | 权限 | 
|---|---|
| API Gateway Viewer | apigateway.apiconfigs.get apigateway.apiconfigs.getIamPolicy apigateway.apiconfigs.list apigateway.apis.get apigateway.apis.getIamPolicy apigateway.apis.list apigateway.gateways.get apigateway.gateways.getIamPolicy apigateway.gateways.list apigateway.locations.get apigateway.locations.list apigateway.operations.get apigateway.operations.list resourcemanager.projects.get resourcemanager.projects.list | 
| API Gateway Admin | API Gateway Viewer 角色中包含的所有权限,外加: apigateway.apiconfigs.create apigateway.apiconfigs.delete apigateway.apiconfigs.setIamPolicy apigateway.apiconfigs.update apigateway.apis.create apigateway.apis.delete apigateway.apis.setIamPolicy apigateway.apis.update apigateway.gateways.create apigateway.gateways.delete apigateway.gateways.setIamPolicy apigateway.gateways.update apigateway.operations.cancel apigateway.operations.delete | 
自定义角色
如果基本角色或预定义角色无法满足您的特定需求,API Gateway 支持使用自定义角色。您可以使用 IAM 为 API Gateway 创建自定义角色。