API Connect ユーザー・ロール

IBM® API Connect ソリューションは、ユーザーがAPIを作成、管理、ステージングできるようにするインフラ、ツール、設備を提供する。 API Connect ユーザー・インターフェースでタスクを実行する機能は、ユーザー役割、およびそれらの役割に割り当てられている権限によって制御されます。

ここで説明する役割は、デフォルトの API Connect 役割です。 API Manager ユーザー・インターフェースでは、カスタム・ロールを作成できます。詳しくは、カスタム・ロールの作成を参照してください。

以下のセクションでは、各 API Connect ユーザー・インターフェースの役割と権限について説明します。

Cloud Manager UI でのユーザーの役割と権限。
API Manager UIにおけるユーザーの役割と権限。
開発者ポータル UI でのユーザー役割。

役割は以下の通り：

メンバー・ロールは、他のロールを持たずにオンボードされたすべてのユーザに与えられ、ユーザがログインすることのみを許可する最小限のロールである。
オーナーロールと管理者ロールはすべての権限を持っており、変更することはできません。
カスタムロールは、管理者組織およびプロバイダ組織では作成できますが、コンシューマ組織では作成できません。

注： Cloud Manager および API Managerでは、Ownerロールはフルアクセス権、Memberロールは読み取り専用アクセス権を持っています。オーナー」と「メンバー」の両方のロールは、編集や削除ができません。カスタム・ロールを含むその他のロールはすべて削除できます。メンバーからロールが削除された場合でも、そのユーザーのメンバーシップは API Connect に残っているため、将来そのメンバーにロールを追加することができます。

Cloud Manager UI でのユーザー役割と権限

以下の表では、基本製品で構成されている Cloud Manager UI のユーザー権限について説明します。表 2 に示されているように、特定のロールを編集でき、カスタム・ロールを作成できます。管理者組織 (Cloud Manager ユーザー) のカスタム役割を作成する方法については、管理者組織での役割の作成を参照してください。

表 1. Cloud Manager UI の権限
許可	アクション	説明
クラウド設定	表示	ロールやデフォルトロールを含む、 Cloud Manager > Settings メニューのすべての項目を表示する
クラウド設定	管理	ロールやデフォルトロールを含む、 Cloud Manager > Settings メニューのすべての項目を管理する
プロバイダー組織	表示	クラウドマネージャー > プロバイダー組織 ]メニューでプロバイダー組織のリストを表示する
プロバイダー組織	管理	Cloud Manager > Provider organizations メニューから、プロバイダ組織の追加、編集、削除、および所有者の招待を行う
分析	表示	Cloud Manager UI でアナリティクスを表示し、保存されたクエリの作成、更新、複製、削除、共有、共有解除を行うことができます
監査	表示	監査イベントの表示
設定	表示	Cloud Manager > Settings > Roles メニューでロールを見る
設定	管理	Cloud Manager > Settings > Roles メニューでロールを管理します
メンバー	表示	クラウドマネージャー > メンバーリストでメンバーを見る
メンバー	管理	クラウドマネージャー＞メンバーメニューからメンバーを追加・招待する注意: デフォルトでは、[ メンバー ] > [ 管理] 権限を持つユーザーは、自分自身の権限に関係なく、任意の権限を持つロールを自分自身または他のユーザーに割り当てることができます。ただし、ユーザーが役割を割り当てるためには、少なくともその役割に適用されるすべての権限をユーザー自身が持っている必要があるという制限を適用することができます。この制限を適用するには、以下の手順を実行します。クラウド管理組織のメンバーとしてツールキット CLI から管理サーバーにログインします。詳しくは、管理サーバーへのログインを参照してください。次のコマンドを入力します (末尾のハイフンは、コマンドがコマンド・ラインからの入力データを取得することを意味します)。 `apic cloud-settings:update --server mgmt_endpoint_url -` ここで、`mgmt_endpoint_url` は、プラットフォーム API エンドポイント URL です。次のデータを入力して、改行します。 `restrict_member_manage_permission: true` `CTRL D` を押して入力を終了します。
トポロジー	表示	クラウドマネージャー＞トポロジーメニューの項目を見る
トポロジー	管理	クラウドマネージャー＞トポロジーメニューの項目の追加、編集、削除
エンゲージメント	表示	ルール、タスク、デスティネーション、エンゲージメント設定など、エンゲージメントセクションのすべての項目を表示します。この権限により、アラート状態の監視、通知設定の表示、システム全体のエンゲージメント活動の追跡が可能になります。
エンゲージメント	管理	ルール、タスク、デスティネーション、エンゲージメント設定の作成、更新、削除など、エンゲージメントセクションのすべての項目を表示および変更できます。この権限により、アラート条件の設定、通知チャネルの設定、完全なエンゲージメントワークフローの管理が可能になります。

次の表に、さまざまな Cloud Manager UIのロールと、それらに割り当てられる権限を示します。

表 2. Cloud Manager UI の役割
役割	アクション	へのアクセスを提供する	説明
管理者	表示、管理	すべてのメニュー	管理者組織を管理します
所有者	表示、管理	すべてのメニュー	管理者組織を所有し、管理します
メンバー	表示	組織	最低限の役割。ロールを持たずにオンボードされたユーザーには、メンバー・ロールが自動的に割り当てられます。ログインはできるが、メニューにはアクセスできない。
組織管理者	表示、管理	組織とプロバイダー組織	プロバイダー組織の管理
トポロジー管理者	表示	組織、トポロジー、設定	クラウドトポロジーを管理する。このロールが管理できるのは、トポロジーと設定のみです
ビューア―	表示	すべてのメニュー	管理者組織を表示します

API Manager UI でのユーザーの役割と権限

以下の表では、 API Manager UI で利用可能な権限について説明します。

ロール権限を持つユーザは、権限の割り当てを変更したり、カスタムロールを作成したりすることができます。詳細については、 APIの管理セクションのカスタム・ロールの作成を参照してください。

表 3. 組織の許可
許可	アクション	説明
アプリケーションの承認	表示	開発アプリケーションを本番アプリケーションに昇格させるリクエストに対するアプリケーション承認の表示
アプリケーションの承認	管理	開発アプリケーションを本番アプリケーションに昇格させる要求を承認または拒否する
サブスクリプション	表示	コンシューマ組織が作成したアプリケーションプランのサブスクリプションを開発者ポータルで表示する
サブスクリプション	管理	コンシューマ組織が作成したアプリケーションプランのサブスクリプションを Developer Portalで管理する注：管理権限には、サブスクリプションを別のプランに移行する権限が含まれます。
サブスクリプションの承認	表示	アプリケーション・プラン・サブスクリプションの承認の表示
サブスクリプションの承認	管理	アプリケーション・プラン加入の承認または拒否
コンシューマー・オンボード承認	表示	消費者のオンボーディング承認を表示
コンシューマー・オンボード承認	管理	消費者のオンボーディング承認を承認または拒否する
API 分析	表示	分析データの表示と保存した分析クエリへのアクセス
API 分析	管理	保存された分析クエリの作成、更新、複製、削除、共有（閲覧権限を含む
子	表示	プロバイダー組織レベルでカタログを、カタログレベルでスペースを表示する
	作成	プロバイダー組織レベルでカタログを作成し、カタログレベルでスペースを作成する
	管理	プロバイダー組織レベルでカタログを管理し、カタログレベルでスペースを管理する注：管理タスクには、カタログまたはスペースの削除、カタログまたはスペースの所有権の譲渡が含まれる。
API-ドラフト	表示	ドラフト API の表示
API-ドラフト	編集	ドラフトAPIとAPIテストの編集、ドラフト製品の表示、APIテスト
APIエージェント	すべて	会話型APIエージェントを使う
ガバナンス-施行-承認	表示	ガバナンス実施承認タスクセクションのすべての項目を表示します。この権限では、ガバナンス実施フローの一部として作成された、カタログ管理者による承認が必要なすべてのタスクを表示できます
ガバナンス-施行-承認	管理	ガバナンス実施承認タスクセクションの全項目を表示および変更する。この権限では、ガバナンス実施フローの一部として作成された、カタログ管理者による承認が必要なすべてのタスク（承認または拒否）を表示および更新できます
製品	表示	製品を表示する
	ステージ	製品のステージング
	管理	製品の管理
製品の承認	表示、管理	製品のライフサイクルの変更を確認したり、次のようなアクションを実行したりすることを含む、製品の表示と管理：ステージ管理公開取り替え取り替え非推奨廃止する
コンシューマー組織 (Consumer organization)	表示	消費者団体と開発者を見る
コンシューマー組織 (Consumer organization)	管理	消費者団体と開発者の管理
アプリ	表示	生産用と開発用の両方のアプリケーションを見る
アプリ	管理	本番アプリケーションと開発アプリケーションの両方を管理する注: この権限を持つメンバーは、開発アプリを本番アプリに昇格させるよう要求することもできます。この要求により、「アプリケーションの承認の管理」許可を持つメンバーによる承認が必要なタスクがトリガーされます。
アプリケーションの開発	管理	開発アプリケーションの表示と管理
監査	表示	監査イベントの表示
設定	表示	ロール、TLSプロファイル、ユーザー登録など、組織の構成設定を表示します。カタログまたはスペースの構成設定を表示します。 OpenAPI エクステンションを含みます。
設定	管理	ロール、TLSプロファイル、ユーザー登録、ガバナンス、APIテスト、ディスカバリーなど、組織の構成設定を管理します。カタログまたはスペースの構成設定を管理する。 OpenAPI エクステンションを含む。
メンバー	表示	組織のメンバーを見る
メンバー	管理	組織のメンバーを管理する注意: デフォルトでは、[ メンバー ] > [ 管理] 権限を持つユーザーは、自分自身の権限に関係なく、任意の権限を持つロールを自分自身または他のユーザーに割り当てることができます。ただし、ユーザーが役割を割り当てるためには、少なくともその役割に適用されるすべての権限をユーザー自身が持っている必要があるという制限を適用することができます。この制限を適用するには、以下の手順を実行します。クラウド管理組織のメンバーとしてツールキット CLI から管理サーバーにログインします。詳しくは、管理サーバーへのログインを参照してください。次のコマンドを入力します (末尾のハイフンは、コマンドがコマンド・ラインからの入力データを取得することを意味します)。 `apic cloud-settings:update --server mgmt_endpoint_url -` ここで、`mgmt_endpoint_url` は、プラットフォーム API エンドポイント URL です。次のデータを入力して、改行します。 `restrict_member_manage_permission: true` `CTRL D` を押して入力を終了します。
エンゲージメント	表示	ルール、タスク、デスティネーション、エンゲージメント設定など、エンゲージメントセクションのすべての項目を表示します。この権限により、アラート状態の監視、通知設定の表示、システム全体のエンゲージメント活動の追跡が可能になります。
エンゲージメント	管理	ルール、タスク、デスティネーション、エンゲージメント設定の作成、更新、削除など、エンゲージメントセクションのすべての項目を表示および変更できます。この権限により、アラート条件の設定、通知チャネルの設定、完全なエンゲージメントワークフローの管理が可能になります。
製品-ドラフト	表示	ドラフト API およびドラフト製品の表示
製品-ドラフト	編集	ドラフト API の表示およびドラフト製品の編集

「設定」>「管理」権限を持つユーザーは、権限の割り当てを変更したり、カスタム役割を作成したりすることができます。詳しくは、「 API の管理」セクションの「カスタム役割の作成」を参照してください。

表 4。デフォルトの API Manager UI ロールと、それらのロールに割り当てられたデフォルトの許可。
役割	アクション	へのアクセスを提供する	説明
管理者	表示、管理	すべてのメニュー	API プロバイダー組織を管理します
APIエージェント・ユーザー	表示	すべてのメニュー	デフォルトでは、API Agentのチャットユーザーは閲覧権限しか持っていません。 APIエージェントのすべてのアクションを実行するには、API-Agentパーミッションが必要です
所有者	表示、管理	すべてのメニュー	API プロバイダー組織を所有し、管理します
ビューア―	表示	すべてのメニュー	API プロバイダー組織を表示します
API 管理者	表示、管理	すべてのメニューがありますが、以下の管理はできません：メンバー、設定、トポロジー、組織、子メンバー	APIのライフサイクルを管理し、APIの発見と利用のためにAPIを公開する
コミュニティー・マネージャー	表示、管理	すべてのメニュー。ただし、以下のメニューは管理できません：メンバー」「設定」「トポロジー」「組織」「製品」「製品承認」「子」の管理はできません	プロバイダー組織と消費者組織の関係を管理し、API使用に関する情報を提供し、消費者組織にサポートを提供する
メンバー	表示	組織	最低限の役割。ロールを持たずにオンボードされたユーザーには、メンバー・ロールが自動的に割り当てられます。ログインはできるが、メニューにはアクセスできない
開発者	表示、管理	すべてのメニュー。ただし、以下のメニューは管理できない：メニュー、設定、トポロジー、組織。製品および製品承認の場合、開発者ロールは以下のアクションを実行できます	API 開発者。所属先のプロバイダー組織で、API とアプリケーションの設計および開発を行います。注：開発者ロールは、プロバイダ組織レベルのユーザに割り当てられた場合、製品とAPIの作成、およびカタログまたはスペースへの製品のステージングと公開を許可するが、プロバイダ組織内のカタログまたはスペースのみのメンバーであるユーザに割り当てられた場合は許可しない。カタログまたはスペースの開発者は、カタログまたはスペースにステージングまたはパブリッシュされた製品を管理することができます。

注: オーナーおよび管理者は、 API Agent の使用を完全に許可されています。詳細については、 API Agentのユーザーロールを参照してください。

開発者ポータル UI でのユーザー役割

以下の表では、API およびアプリケーションの操作に関連するさまざまな開発者ポータル UI の役割について説明します。

表 5. 開発者ポータル UI の役割
役割	アクション	へのアクセスを提供する	説明
所有者	表示、管理	組織のメンバー	消費者団体を所有・運営。組織内で作成されたアプリケーションプランのサブスクリプションを表示または管理できます。管理権限には、サブスクリプションを別のプランに移行することも含まれます。
	表示、管理	組織の設定
	表示	組織の表示
	表示	コンシューマー製品
	実稼働アプリケーションまたは開発アプリケーションの表示、管理	コンシューマー・アプリケーション
	開発アプリケーションの管理	コンシューマー組織
	実稼働アプリケーションまたは開発アプリケーションの表示、管理	コンシューマー・サブスクリプション
	表示	消費者アプリケーション分析
管理者	表示、管理	組織のメンバー	消費者団体の運営。組織内で作成されたアプリケーションプランのサブスクリプションを表示または管理できます。管理権限には、サブスクリプションを別のプランに移行する機能が含まれます。
	表示、管理	組織の設定
	表示	組織
	表示	コンシューマー製品
	実稼働アプリケーションまたは開発アプリケーションの表示、管理	コンシューマー・アプリケーション
	開発アプリケーションの管理	コンシューマー組織
	表示、管理	コンシューマー・サブスクリプション
	アプリケーション分析の表示	消費者アプリケーション分析
ビューア―	表示	組織のメンバー	消費者団体の視聴者
	表示	組織の設定
	表示	組織
	表示	コンシューマー製品
	アプリケーションの表示	コンシューマー・アプリケーション
	実稼働アプリケーションの表示	消費者向け生産アプリケーション
	アプリケーション分析の表示	消費者アプリケーション分析
開発者	表示	組織のメンバー	コンシューマー組織内のアプリケーションの構築と管理。組織内で作成されたアプリケーションプランのサブスクリプションを表示または管理できます。管理権限には、サブスクリプションを別のプランに移行することも含まれます。
	表示	組織の設定
	表示	組織
	表示	コンシューマー製品
	実稼働アプリケーションまたは開発アプリケーションの表示、管理	コンシューマー・アプリケーション
	開発アプリケーションの管理	コンシューマー組織
	表示、管理	コンシューマー・サブスクリプション
	アプリケーション分析の表示	消費者アプリケーション分析
メンバー	表示	組織	消費者団体のメンバー

注： admin というユーザが自動的に作成され、 Developer Portal サイトの完全な管理者アクセス権が与えられます。この admin ユーザーは、製品および API を表示できますが、API を使用するアクセス権限は持っていません。管理者ユーザは、開発者ポータルに関連付けられたプロバイダ組織の所有者のメールアドレスを想定しています。