Descripción general de los espacios de Apigee

Consulta la documentación de Apigee Edge.

En este tema, se describe cómo usar los espacios de Apigee para habilitar el control detallado de Identity and Access Management sobre los recursos de tu organización de Apigee.

Los espacios de Apigee permiten el aislamiento basado en identidades y la agrupación de recursos de API dentro de una organización de Apigee. Con los espacios de Apigee, puedes tener un control detallado de IAM sobre el acceso a los proxies de API, los flujos compartidos y los productos de API.

Puedes crear varios espacios en la misma organización para diferentes equipos, proyectos de desarrollo o entornos, y establecer los controles de IAM para cada espacio. Todos los recursos creados en un espacio heredarán las políticas de IAM aplicadas a ese espacio.

Cuándo usar los espacios de Apigee

Administrar los permisos de IAM para varios equipos que trabajan dentro de una sola organización de Apigee puede ser complejo. El uso de los espacios puede simplificar la administración de IAM con controles detallados y permisos simplificados para acceder a los recursos de la organización.

Con los espacios, puedes alojar varios equipos en una organización de Apigee en la que se cumplen las siguientes condiciones:

  • Cada equipo mantiene su propio conjunto independiente de proxies de API, flujos compartidos y productos de API.
  • Los miembros del equipo tienen acceso de lectura/escritura al conjunto de proxies de API, flujos compartidos y productos de API.
  • Se puede otorgar acceso específico (de lectura, o de lectura/escritura, o de seguimiento/depuración) a uno o más de los proxies de API, los flujos compartidos o los productos de API a los miembros de otro equipo.
  • Varios equipos pueden acceder a un conjunto común de proxies de API, flujos compartidos y productos de API con permisos detallados.

Los espacios de Apigee se pueden usar con organizaciones de suscripción y Pay-as-you-go de Apigee, incluidas las organizaciones habilitadas para Apigee Hybrid. Los espacios se pueden usar con organizaciones de Apigee que tengan habilitada la residencia de datos. Las organizaciones de Apigee Hybrid deben usar la versión 1.12.2 de Hybrid. Para obtener información acerca de la actualización a la versión 1.12.2, consulta Actualiza tu organización de Apigee Hybrid.

Beneficios de los espacios de Apigee

El uso de los espacios de Apigee tiene varios beneficios, incluidos los siguientes:

  • Mejor seguridad: El uso de los espacios puede mejorar la seguridad; para ello, te permite controlar el acceso a los recursos con un nivel detallado. Puedes otorgar a diferentes usuarios y grupos acceso a distintos espacios y controlar qué recursos están disponibles en cada espacio. Esto ayuda a aislar y proteger el acceso a datos sensibles o recursos.
  • Administración simplificada: Los espacios pueden ayudarte a simplificar tus tareas de administración; para ello, proporciona una forma de agrupar tus recursos de forma lógica. Puedes administrar todos los recursos juntos de un espacio juntos y ver fácilmente qué usuarios y grupos tienen acceso a cada recurso.
  • Mayor flexibilidad: Los espacios te brindan flexibilidad en la forma en que administras tus recursos de Apigee. Puedes crear tantos espacios como necesites y mover recursos entre ellos según sea necesario, lo que te permite adaptarte a las necesidades cambiantes.

Los espacios permiten incorporar el aislamiento de recursos a nivel del equipo, lo que proporciona una separación clara de los recursos asociados con diferentes equipos que operan dentro de la misma organización de Apigee. Además, las políticas de IAM se pueden aplicar a nivel del espacio, lo que elimina la necesidad de administrar los permisos de forma individual para cada proxy de API, flujo compartido y producto de API.

Permisos y roles de IAM

Con el objetivo de admitir la administración detallada del acceso y el control de los recursos del espacio, presentamos un nuevo conjunto de permisos para Apigee.

Permisos nuevos para espacios de Apigee

Los siguientes permisos permiten a los usuarios de Apigee crear y administrar espacios:

  • apigee.spaces.create: Crea un espacio nuevo en una organización de Apigee.
  • apigee.spaces.update: Actualiza un espacio existente en una organización de Apigee.
  • apigee.spaces.delete: Borra un espacio existente en una organización de Apigee.
  • apigee.spaces.get: Obtiene detalles de un espacio existente en una organización de Apigee.
  • apigee.spaces.list: Enumera todos los espacios en una organización de Apigee.
  • apigee.spaces.getIamPolicy: Obtiene la política de IAM asociada con un espacio en una organización de Apigee.
  • apigee.spaces.setIamPolicy: Configura la política de IAM asociada con un espacio en una organización de Apigee.

Los usuarios con el rol role/apigee.adminV2 pueden realizar todas las operaciones anteriores en los espacios de una organización de Apigee.

Nuevo rol para ver recursos de espacios en la consola de Google Cloud

Si los usuarios quieren ver los recursos de API asociados a espacios con la IU de Apigee en la consola de Cloud, también necesitarán un rol personalizado: ApigeeSpaceUser. Para obtener más información sobre el uso de la IU para ver y administrar recursos de API en espacios, consulta Administra recursos de API en los espacios de Apigee.

Asegúrate de que este rol personalizado se otorgue a cualquier usuario que desee usar Apigee en la consola de Cloud para ver y administrar recursos de espacios. Si el rol ApigeeSpaceUser aún no está disponible en IAM para tus usuarios, pídele al administrador de tu organización que agregue el rol al proyecto de Google Cloud de la organización.

El administrador puede crear el rol con el siguiente comando: 

gcloud iam roles create ApigeeSpaceUser \
  --project="PROJECT_ID" \
  --title="Apigee Space User" \
  --description="Apigee Space User"\
  --permissions="apigee.entitlements.get,apigee.organizations.get,apigee.organizations.list,apigee.projectorganizations.get,resourcemanager.projects.get,apigee.spaces.list,apigee.spaces.get,apigee.deployments.list,apigee.environments.list,apigee.environments.get,apigee.envgroups.list,apigee.envgroupattachments.list,apigee.instances.list,apigee.apps.list" \
  --stage=GA

Reemplaza PROJECT_ID por el nombre del proyecto de Google Cloud en el que se creó la organización de Apigee.

Visualiza y asigna roles con la IAM en la consola de Google Cloud

Puedes confirmar las asignaciones de roles y los permisos disponibles para los miembros del espacio y los administradores de la organización con la IAM en la consola de Google Cloud.

Verifica los roles

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a IAM
  2. Selecciona el proyecto.

  3. En la columna Principal, busca todas las filas que te identifiquen a ti o a un grupo en el que se te incluya. Para saber en qué grupos estás incluido, comunícate con tu administrador.

  4. Para todas las filas en las que se te especifique o se te incluya, verifica la columna Rol para ver si la lista de roles incluye los roles necesarios.

Otorga los roles

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a IAM
  2. Selecciona el proyecto.
  3. Haz clic en Grant access.

  4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

  5. En la lista Seleccionar un rol, elige un rol.
  6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
  7. Haz clic en Guardar.

Limitaciones

Se aplican las siguientes limitaciones a los espacios de Apigee:

  • Los espacios de Apigee no son compatibles con la IU clásica de Apigee. Para ver los espacios y administrar sus recursos, usa la IU de Apigee en la consola de Cloud o la API.
  • No se puede usar Apigee en la consola de Cloud para realizar las siguientes acciones:
    • Crear, obtener, actualizar, borrar o enumerar espacios
    • Administrar políticas de IAM para los espacios

    Estas acciones deben realizarse con la API.

  • Hay un máximo de 1,000 espacios por organización de Apigee.
  • Existe un límite de 10 consultas por segundo (QPS) para las operaciones de list en el proxy de API, el producto de API y los extremos de flujo compartido.

¿Qué sigue?