権限の管理

このセクションでは、Anypoint Platform から管理するさまざまな製品および API の間で権限がどのように機能するかについて説明します。

前提条件

このページでは、組織で組織のシステム管理者ロールを持っていること、組織のビジネスグループのいずれかのシステム管理者として割り当てられていること、または API バージョン所有者権限を持ち API バージョン、ビジネスグループ、または組織全体のユーザ権限を管理しようと考えていることを前提としています。

Anypoint Platform での権限の仕組み

Anypoint Platform では、ユーザは組織に属し、​ロール​と​権限​のセットを持ちます。

各ロールには、そのロールを持つユーザがスコープに含まれる特定のリソースに対して実行できる内容を定義した​ 権限 ​のリストが含まれます。
一部のロールにはデフォルトの権限のセットが付属しています。組織のシステム管理者は、カスタマイズしたロールを作成して適切と思われる権限を割り当てたり、製品に応じてロールを必要としない権限を特定のユーザに直接追加したりできます。

権限の理解

Anypoint Platform にある製品の数に応じて、すべての新しい組織およびビジネスグループを最初に作成したときに​ 権限 ​のデフォルトの種別のセットが表示されます。ただし、権限種別の間には 1 つの明確な区別があります。

  1. 製品の権限

    • 各 Anypoint Platform 製品 (Runtime Manager、Data Gateway など) のデフォルトの権限。これらは​環境固有​の権限であり、組織全体ではなく特定の環境内で何らかの操作を実行する権限が付与されます。
      製品の権限はカスタムロールまたは CloudHub ロールに割り当てることができます。

      Exchange へのアクセスは、​Exchange システム管理者​、​Exchange コントリビュータ​、​Exchange 閲覧者​​ロール​を使用して処理されます。個別の Exchange 権限を他のロールに付与することはできません。この点についての詳細は、​製品のドキュメント​を参照してください。

  2. API の権限

    API の権限は、使用している API Manager バージョンに応じて異なります。

    1. API Manager 1.x の権限

      • Anypoint Platform から管理する各 API のデフォルトの権限。API バージョンに固有のものもあれば、すべてのバージョンに拡張できるものもあります。
        特定の API バージョンに基づいてユーザアクセスを管理できますが、こうした権限を組織全体に拡張することはできません。ユーザ権限をすべての API に付与するには、​API バージョン所有者​および​ポータル所有者​ロールに追加します。

      • API バージョン所有者​および​ポータル閲覧者​権限を使用して個別の API バージョンまたは API Portal を編集または表示するためにユーザ権限を割り当てることができます。

        この 2 つの API 権限により、​API バージョン所有者​および​ポータル閲覧者​ロールと同じスコープが付与されますが、自分で定義した API およびバージョンに制限されます。
        こうした特定のスコープについての詳細は​ロールに関する記事​を参照してください。

    2. API Manager 2.x の権限

      • API Manager から管理する各 API のデフォルトの権限。権限は特定の環境および特定のリソース (ポリシー、アラートなど) に対するものです。環境への権限がユーザに付与されると、直ちにその環境にアクセスできるようになります。例: アラートを作成して編集するための権限をユーザに付与するには、​アラートの管理​を割り当てる必要があります。

      • Exchange で API を作成するには、Exchange システム管理者または Exchange コントリビュータのいずれかの Exchange ロールが割り当てられている必要があります。

API バージョン ​と​ 製品デプロイ環境 ​は組織 (および場合によってはビジネスグループ) でグループ化されているため、これらにアクセスするには、必要な権限を所有し、その該当する組織またはビジネスグループ (こうしたリソースが存在する場合) に属すアカウントが必要です。

マスタ組織レベルで割り当てられているロールはマスタ組織レベルのリソースのみを参照でき、ビジネスグループに属するロールはそのビジネスグループ内のリソースのみを参照できます。

ビジネスグループのいずれかのロールを所有するユーザには、そのビジネスグループのメンバーシップが暗黙的に付与されます。
ユーザが組織内の 1 つのビジネスグループに属した場合、別のビジネスグループのその同じユーザにエンタイトルメントを割り当てるには、そのもう 1 つのビジネスグループ内でロールを割り当てるしかありません。

Was this article helpful?

💙 Thanks for your feedback!

Edit on GitHub