Apigee Spaces – Übersicht

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Apigee Edge-Dokumentation aufrufen

In diesem Thema wird beschrieben, wie Sie mit Apigee Spaces eine detaillierte Identitäts- und Zugriffsverwaltung für Ihre Apigee-Organisationsressourcen ermöglichen.

Mit Apigee Spaces können API-Ressourcen innerhalb einer Apigee-Organisation identitätsbasiert isoliert und gruppiert werden. Mit Apigee Spaces können Sie den Zugriff auf Ihre API-Proxys, freigegebenen Abläufe und API-Produkte mithilfe von IAM-Richtlinien genau steuern.

Sie können mehrere Gruppenbereiche in derselben Organisation für verschiedene Teams, Entwicklungsprojekte oder Umgebungen erstellen und die IAM-Steuerungselemente für jeden Gruppenbereich festlegen. Alle Ressourcen, die in einem Gruppenbereich erstellt werden, übernehmen die IAM-Richtlinien, die auf diesen Gruppenbereich angewendet werden.

Einsatzbereiche für Apigee Spaces

Die Verwaltung von IAM-Berechtigungen für mehrere Teams, die in einer einzigen Apigee-Organisation arbeiten, kann komplex sein. Gruppenbereiche können die IAM-Verwaltung mit detaillierten Kontrollen und vereinfachten Berechtigungen für den Zugriff auf Organisationsressourcen vereinfachen.

Mit Gruppenbereichen können Sie mehrere Teams in einer Apigee-Organisation hosten. Dabei gilt:

• Jedes Team verwaltet seine eigenen unabhängigen API-Proxys, gemeinsam genutzten Abläufe und API-Produkte.
• Teammitglieder haben Lese- und Schreibzugriff auf die API-Proxys, freigegebenen Abläufe und API-Produkte.
• Mitgliedern eines anderen Teams kann bestimmter Zugriff (Lese-, Lese-/Schreib- oder Trace-/Debug-Zugriff) auf einen oder mehrere der API-Proxys, freigegebene Abläufe oder API-Produkte gewährt werden.
• Mehrere Teams können auf einen gemeinsamen Satz von API-Proxys, freigegebenen Abläufen und API-Produkten mit detaillierten Berechtigungen zugreifen.

Apigee Spaces kann mit Apigee-Organisationen mit Abo- und Pay-as-you-go-Tarifen verwendet werden, einschließlich Apigee-Hybrid-fähiger Organisationen. Spaces kann mit Apigee-Organisationen verwendet werden, für die der Speicherort der Daten aktiviert ist. Apigee Hybrid-Organisationen müssen die Hybridversion 1.12.2 verwenden. Informationen zum Upgrade auf Version 1.12.2 finden Sie unter Ihre Apigee Hybrid-Organisation aktualisieren.

Vorteile von Apigee Spaces

Die Verwendung von Apigee Spaces bietet mehrere Vorteile, darunter:

• Verbesserte Sicherheit: Mit Gruppenbereichen können Sie den Zugriff auf Ressourcen detailliert steuern und so die Sicherheit erhöhen. Sie können verschiedenen Nutzern und Gruppen Zugriff auf verschiedene Gruppenbereiche gewähren und festlegen, welche Ressourcen in den einzelnen Spaces verfügbar sind. So können Sie den Zugriff auf sensible Daten oder Ressourcen isolieren und schützen.
• Vereinfachte Verwaltung: Spaces kann Ihnen helfen, Ihre Verwaltungsaufgaben zu vereinfachen, da Sie Ihre Ressourcen logisch gruppieren können. Sie können alle Ressourcen in einem Space gemeinsam verwalten und so ganz einfach sehen, welche Nutzer und Gruppen Zugriff auf die einzelnen Ressourcen haben.
• Mehr Flexibilität: Gruppenbereiche bieten Ihnen Flexibilität bei der Verwaltung Ihrer Apigee-Ressourcen. Sie können beliebig viele Gruppenbereiche erstellen und Ressourcen nach Bedarf zwischen Gruppenbereichen verschieben, um sich an sich ändernde Anforderungen anzupassen.

Spaces bieten die Möglichkeit, die Ressourcenisolation auf Teamebene einzuführen und eine klare Trennung der Ressourcen zu ermöglichen, die verschiedenen Teams zugeordnet sind, die in derselben Apigee-Organisation arbeiten. Außerdem können IAM-Richtlinien auf Ebene des Gruppenbereichs angewendet werden, sodass Berechtigungen nicht einzeln für jeden API-Proxy, jeden freigegebenen Ablauf und jedes API-Produkt verwaltet werden müssen.

IAM-Berechtigungen und -Rollen

Um den Zugriff auf und die Kontrolle über Space-Ressourcen detaillierter verwalten zu können, haben wir neue Berechtigungen für Apigee eingeführt.

Neue Berechtigungen für Apigee Spaces

Mit den folgenden Berechtigungen können Apigee-Nutzer Spaces erstellen und verwalten:

• apigee.spaces.create: Erstellen Sie einen neuen Space in einer Apigee-Organisation.
• apigee.spaces.update: Hiermit können Sie einen vorhandenen Space in einer Apigee-Organisation aktualisieren.
• apigee.spaces.delete: Löscht einen vorhandenen Gruppenbereich in einer Apigee-Organisation.
• apigee.spaces.get: Damit können Sie Details zu einem vorhandenen Gruppenbereich in einer Apigee-Organisation abrufen.
• apigee.spaces.list: Hiermit werden alle Gruppenbereiche in einer Apigee-Organisation aufgelistet.
• apigee.spaces.getIamPolicy: Ruft die IAM-Richtlinie ab, die mit einem Space in einer Apigee-Organisation verknüpft ist.
• apigee.spaces.setIamPolicy: Hiermit wird die IAM-Richtlinie festgelegt, die mit einem Space in einer Apigee-Organisation verknüpft ist.

Nutzer mit der Rolle role/apigee.adminV2 können alle oben genannten Vorgänge für Spaces in einer Apigee-Organisation ausführen.

Neue Rolle zum Ansehen von Space-Ressourcen in der Google Cloud Console

Wenn Nutzer API-Ressourcen ansehen möchten, die mit Spaces über die Apigee-Benutzeroberfläche in der Cloud Console verknüpft sind, benötigen sie außerdem eine benutzerdefinierte Rolle: ApigeeSpaceUser. Weitere Informationen zum Ansehen und Verwalten von API-Ressourcen in Spaces über die Benutzeroberfläche finden Sie unter API-Ressourcen in Apigee Spaces verwalten.

Prüfen Sie, ob diese benutzerdefinierte Rolle allen Nutzern gewährt wurde, die Apigee in der Cloud Console verwenden möchten, um Spaces-Ressourcen aufzurufen und zu verwalten. Wenn die Rolle ApigeeSpaceUser für Ihre Nutzer noch nicht in IAM verfügbar ist, bitten Sie Ihren Organisationsadministrator, die Rolle dem Google Cloud-Projekt der Organisation hinzuzufügen.

Der Administrator kann die Rolle mit dem folgenden Befehl erstellen:

gcloud iam roles create ApigeeSpaceUser \
  --project="PROJECT_ID" \
  --title="Apigee Space User" \
  --description="Apigee Space User"\
  --permissions="apigee.entitlements.get,apigee.organizations.get,apigee.organizations.list,apigee.projectorganizations.get,resourcemanager.projects.get,apigee.spaces.list,apigee.spaces.get,apigee.deployments.list,apigee.environments.list,apigee.environments.get,apigee.envgroups.list,apigee.envgroupattachments.list,apigee.instances.list,apigee.apps.list" \
  --stage=GA

Ersetzen Sie PROJECT_ID durch den Namen des Google Cloud-Projekts, in dem die Apigee-Organisation erstellt wurde.

Rollen mit IAM in der Google Cloud Console ansehen und zuweisen

Sie können die Rollenzuweisungen und Berechtigungen für Mitglieder von Space und Organisationsadministratoren mit IAM in der Google Cloud Console prüfen.

Beschränkungen

Für Apigee Spaces gelten die folgenden Einschränkungen:

• Apigee Spaces wird in der klassischen Apigee-Benutzeroberfläche nicht unterstützt. Wenn Sie Spaces aufrufen und deren Ressourcen verwalten möchten, verwenden Sie die Apigee-Benutzeroberfläche in der Cloud Console oder die API.
• Mit Apigee in der Cloud Console können Sie die folgenden Aktionen nicht ausführen:
  • Spaces erstellen, abrufen, aktualisieren, löschen oder auflisten
  • IAM-Richtlinien für Gruppenbereiche verwalten

  Diese Aktionen müssen über die API ausgeführt werden.

• Pro Apigee-Organisation sind maximal 1.000 Spaces zulässig.
• Für list-Vorgänge für API-Proxys, API-Produkte und Endpunkte für freigegebene Abläufe gilt ein Limit von 10 Abfragen pro Sekunde (QPS).

Nächste Schritte

• Weitere Informationen zum Erstellen und Verwalten von Apigee Space
• Weitere Informationen zum Verwalten von API-Ressourcen in Apigee Spaces