Esta página foi traduzida pela API Cloud Translation.

VerifyIAM policy

Esta página aplica-se ao Apigee, mas não ao Apigee Hybrid.

Veja a documentação do Apigee Edge.

Vista geral

Use o VerifyIAM para aplicar verificações de autorização no acesso à API, com base no Google Cloud IAM. Esta é uma alternativa à política OAuthv2 e à política VerifyAPIKey. Para informações sobre como incluir o VerifyIAM numa solução de controlo de acesso baseada na IAM, consulte a vista geral da autenticação de API baseada na IAM.

Esta política é uma política padrão e pode ser implementada em qualquer tipo de ambiente. Para obter informações sobre os tipos de políticas e a disponibilidade com cada tipo de ambiente, consulte Tipos de políticas.

Referência do elemento

Esta referência mostra os elementos e os atributos da política VerifyIAM.

<VerifyIAM async="false" continueOnError="false" enabled="true" name="MyVerifyIAMPolicy">
    <DisplayName>Custom label used in UI</DisplayName>
    <CredentialSource>flow_variable_name_containing_credential_value</CredentialSource>
</VerifyIAM>

Atributos <VerifyIAM>

<VerifyIAM async="false" continueOnError="false" enabled="true" name="MyVerifyIAMPolicy">

A tabela seguinte descreve os atributos comuns a todos os elementos principais de políticas:

Atributo	Descrição	Predefinição	Presença
`name`	O nome interno da política. O valor do atributo `name` pode conter letras, números, espaços, hífenes, sublinhados e pontos finais. Este valor não pode exceder 255 carateres. Opcionalmente, use o elemento `<DisplayName>` para etiquetar a política no editor de proxy da IU de gestão com um nome diferente em linguagem natural.	N/A	Obrigatória
`continueOnError`	Definido como `false` para devolver um erro quando uma política falha. Este comportamento é o esperado para a maioria das políticas. Definido como `true` para que a execução do fluxo continue mesmo depois de uma política falhar. Veja também: As regras de falhas são acionadas APENAS num estado de erro (acerca de continueOnError) Processar falhas no fluxo atual	falso	Opcional
`enabled`	Defina como `true` para aplicar a política. Defina como `false` para desativar a política. A política não é aplicada, mesmo que permaneça associada a um fluxo.	verdadeiro	Opcional
`async`	Este atributo foi descontinuado.	falso	Descontinuado

Elemento <DisplayName>

Use em conjunto com o atributo name para etiquetar a política no editor de proxy da IU de gestão com um nome diferente em linguagem natural.

<DisplayName>Policy Display Name</DisplayName>

Predefinição

Predefinição	N/A Se omitir este elemento, é usado o valor do atributo `name` da política.
Presença	Opcional
Tipo	String

N/A

Se omitir este elemento, é usado o valor do atributo name da política.

Presença Opcional

Tipo String

Elemento <CredentialSource>

<CredentialSource>flow_variable_name_containing_credential_value</CredentialSource>

Este elemento especifica a variável de fluxo que contém o valor da credencial e tem as seguintes características:

Normalmente, o cliente envia o valor num parâmetro de consulta, num cabeçalho HTTP ou num parâmetro de formulário. A string tem de especificar a variável de fluxo correspondente no formato request.queryparam.token.
Quando lido a partir da referência, é esperado um valor direto. Por exemplo, "Bearer" não deve estar presente como prefixo.
Se for omitido, a execução da política assume que o valor está no cabeçalho de autorização e no formato padrão "Bearer xyz".

Predefinição	N/A
Presença	Opcional
Tipo	Variável de fluxo

Exemplo:

<VerifyIAM async="false" continueOnError="false" enabled="true" name="Verify-IAM-Permissions-1">
    <DisplayName>VerifyIAM policy for flow 1</DisplayName>
    <CredentialSource>request.queryparam.token</CredentialSource>
</VerifyIAM>

Referência de erros

This section describes the fault codes and error messages that are returned and fault variables that are set by Apigee when this policy triggers an error. This information is important to know if you are developing fault rules to handle faults. To learn more, see What you need to know about policy errors and Handling faults.

Runtime errors

These errors can occur when the policy executes.

Fault code	HTTP status	Cause
`steps.verifyiam.CredentialSourceRefUnresolved`	`400`	Flow variable provided inside credential source could not be resolved.
`steps.verifyiam.CredentialValueNotProvided`	`400`	Credential not found. If the credential source reference is not provided, we look at the default place like authorization header.
`steps.verifyiam.Forbidden`	`403`	Request could not be forwarded due to lack of sufficient permissions or missing access scopes or any other related issues.
`steps.verifyiam.MiscellaneousAuthorizationConfigurationError`	`500`	An issue with the authentication request to IAM. The API producer needs to fix this error based on details in the error response.
`steps.verifyiam.Unauthorized`	`401`	Problem with the credential, such as the value being invalid or expired.
`steps.verifyiam.UnexpectedAuthorizationInfrastructureError`	`500`	Internal error.

Deployment errors

This policy does not return any policy-specific deployment errors.

Fault variables

These variables are set when this policy triggers an error at runtime.

Variables	Where	Example
`fault.name="fault_name"`	`fault_name` is the name of the fault, as listed in the Runtime errors table above. The fault name is the last part of the fault code.	`fault.name="Unauthorized"`
`verifyiam.policy_name.failed`	`policy_name` is the user-specified name of the policy that threw the fault.	`verifyiam.Verify-IAMToken.failed = true`