権限を管理する

このセクションでは、Anypoint Platform から管理するさまざまな製品および API の間で権限がどのように機能するかについて説明します。

権限を管理するには、組織内の組織のシステム管理者権限、組織のビジネスグループのいずれかに対する組織のシステム管理者権限、または API バージョンオーナー権限を持ち、API バージョン、ビジネスグループ、または組織全体のユーザ権限を管理する必要があります。

Anypoint Platform での権限のしくみ

Anypoint Platform では、ユーザは組織に属し、権限のセットを持ちます。これらの権限は、​チーム​または​ロール​ (非推奨) を使用して、または​ユーザに個別に権限を付与​することで割り当てられます。

チーム機能を使用すると、ユーザのグループを作成し、そのグループのメンバーに複数のビジネスグループ間で特定の権限を割り当てることができます。組織のシステム管理者は、チームを作成および変更し、組織の構造に従ってカスケード権限を割り当てることができます。

各ロール (非推奨) には、そのロールを持つユーザがスコープに含まれる特定のリソースに対して実行できる内容を定義した権限のリストが含まれます。
一部のロールにはデフォルトの権限のセットが含まれています。組織のシステム管理者は、カスタマイズしたロールを作成し、それに応じて権限を割り当てることができます。

製品に応じて、ロールまたはチームを必要としない権限を特定のユーザに直接付与したりできます。

権限の理解

Anypoint Platform にある製品に応じて、すべての新しい組織、チーム、およびビジネスグループを最初に作成したときにデフォルトの​権限​のセットが割り当てられます。

  1. 製品の権限

    • 各 Anypoint Platform 製品 (Runtime Manager、データゲートウェイなど) のデフォルトの権限は​環境固有​であり、組織全体ではなく特定の環境内で何らかの操作を実行する権限が付与されます。
      これらのデフォルトの製品の権限は、チーム、カスタムロール、または CloudHub ロールに割り当てることができます。

  2. API の権限

    API の権限は、使用している API Manager バージョンに応じて異なります。

    1. API Manager 1.x の権限

      • Anypoint Platform から管理する各 API のデフォルトの権限は、API バージョンに固有であるか、すべてのバージョンに拡張されます。
        特定の API バージョンに基づいてユーザアクセスを管理できますが、こうした権限を組織全体に拡張することはできません。ユーザ権限をすべての API に付与するには、API バージョンオーナーおよびポータルオーナー権限を持つチームにそれらを追加します。

      • API バージョンオーナーおよびポータル閲覧者権限を使用して個別の API バージョンまたは API Portal を編集または表示するためにユーザ権限を割り当てることができます。

        この 2 つの API 権限により、API バージョンオーナーおよびポータル閲覧者ロールと同じ権限が付与されますが、それらは自分で定義した API およびバージョンに制限されます。
        これらの特定のスコープについての詳細は、​「ロール」​を参照してください。

    2. API Manager 2.x の権限

      • API Manager から管理する各 API のデフォルトの権限は、特定の環境および特定のリソース (ポリシー、アラートなど) にアクセスするための権限を付与します。環境への権限がユーザに付与されると、直ちにその環境にユーザがアクセスできるようになります。たとえば、アラートを作成および編集する権限をユーザに付与する場合は、アラートの管理権限をユーザに割り当てます。

      • ユーザが Exchange で API を作成するには、Exchange 管理者権限または Exchange コントリビュータ権限が必要です。

API バージョン​と​製品デプロイ環境​は組織 (および場合によってはビジネスグループ) でグループ化されているため、これらにアクセスするには、必要な権限を所有し、その該当する組織またはビジネスグループ (こうしたリソースが存在する場合) に属すアカウントが必要です。

ルート組織レベルで割り当てられているロールはルート組織レベルのリソースのみを参照でき、ビジネスグループに属するロールはそのビジネスグループ内のリソースのみを参照できます。

ビジネスグループのいずれかのロールを所有するユーザには、そのビジネスグループのメンバーシップが暗黙的に付与されます。
ユーザが組織内の 1 つのビジネスグループに属した場合、別のビジネスグループのその同じユーザにエンタイトルメントを割り当てるには、そのもう 1 つのビジネスグループ内でロールを割り当てるしかありません。