Présentation d'Apigee Spaces

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Consultez la documentation d'Apigee Edge.

Cet article explique comment utiliser Apigee Spaces pour activer un contrôle précis d'Identity and Access Management sur vos ressources d'organisation Apigee.

Apigee Spaces permet d'isoler et de regrouper les ressources d'API basées sur l'identité au sein d'une organisation Apigee. Avec Apigee Spaces, vous pouvez contrôler IAM avec précision concernant l'accès à vos proxys d'API, vos flux partagés et vos produits d'API.

Vous pouvez créer plusieurs Spaces dans la même organisation pour différentes équipes et différents projets de développement ou environnements, et définir les contrôles IAM pour chaque Space. Toutes les ressources créées dans un Space héritent des stratégies IAM qui y sont appliquées.

Quand utiliser Apigee Spaces ?

La gestion des autorisations IAM pour plusieurs équipes travaillant dans une même organisation Apigee peut s'avérer complexe. L'utilisation de Spaces peut simplifier l'administration IAM grâce à des contrôles précis et des autorisations simplifiées pour accéder aux ressources de l'organisation.

Avec Spaces, vous pouvez héberger plusieurs équipes dans une organisation Apigee où :

• Chaque équipe gère son propre ensemble indépendant de proxys d'API, de flux partagés et de produits d'API.
• Les membres de l'équipe ont un accès en lecture/écriture à l'ensemble des proxys d'API, des flux partagés et des produits d'API.
• Les membres d'une autre équipe peuvent disposer d'un accès spécifique (accès en lecture, en lecture/écriture ou trace/débogage) à un ou plusieurs proxys d'API, flux partagés ou produits d'API.
• Plusieurs équipes peuvent accéder à un ensemble commun de proxys d'API, de flux partagés et de produits d'API avec des autorisations précises.

Apigee Spaces est compatible avec les organisations Apigee avec abonnement et avec Pay-as-you-go, y compris les organisations avec Apigee Hybrid activé. Spaces est compatible avec les organisations Apigee pour lesquelles la résidence des données est activée. Les organisations Apigee hybrid doivent utiliser la version 1.12.2 d'Apigee hybrid. Pour en savoir plus sur la mise à niveau vers la version 1.12.2, consultez Mettre à niveau votre organisation Apigee hybrid.

Avantages d'Apigee Spaces

L'utilisation d'Apigee Spaces présente de nombreux avantages, dont les suivants :

• Sécurité améliorée : l'utilisation de Spaces peut améliorer la sécurité en vous permettant de contrôler l'accès aux ressources à un niveau précis. Vous pouvez accorder à différents utilisateurs et groupes l'accès à différents Spaces, et contrôler les ressources disponibles dans chacun d'eux. Cela permet d'isoler et de protéger l'accès aux données ou ressources sensibles.
• Gestion simplifiée : Spaces peut vous aider à simplifier vos tâches de gestion en vous permettant de regrouper vos ressources de manière logique. Vous pouvez gérer toutes les ressources d'un Space simultanément et savoir facilement quels utilisateurs et groupes ont accès à chaque ressource.
• Flexibilité accrue : Spaces vous permet de gérer vos ressources Apigee de manière flexible. Vous pouvez créer autant de Spaces que vous le souhaitez et vous pouvez déplacer des ressources entre les Spaces selon vos besoins, ce qui vous permet de vous adapter à l'évolution des besoins.

Spaces permet d'introduire une isolation des ressources au niveau de l'équipe, ce qui permet de séparer clairement les ressources associées à différentes équipes opérant au sein de la même organisation Apigee. De plus, des stratégies IAM peuvent être appliquées au niveau de l'espace, ce qui élimine le besoin de gérer les autorisations individuellement pour chaque proxy d'API, flux partagé et produit d'API.

Autorisations et rôles IAM

Pour permettre une gestion précise de l'accès et du contrôle des ressources Space, nous avons introduit un nouvel ensemble d'autorisations pour Apigee.

Nouvelles autorisations pour Apigee Spaces

Les autorisations suivantes permettent aux utilisateurs d'Apigee de créer et de gérer des espaces :

• apigee.spaces.create : crée un Space dans une organisation Apigee.
• apigee.spaces.update : met à jour un Space existant dans une organisation Apigee.
• apigee.spaces.delete : supprime un Space existant dans une organisation Apigee.
• apigee.spaces.get : permet d'obtenir les détails d'un Space existant dans une organisation Apigee.
• apigee.spaces.list : liste tous les Spaces d'une organisation Apigee.
• apigee.spaces.getIamPolicy : permet d'obtenir la stratégie IAM associée à un Space dans une organisation Apigee.
• apigee.spaces.setIamPolicy : permet de définir la stratégie IAM associée à un Space dans une organisation Apigee.

Les utilisateurs disposant du rôle role/apigee.adminV2 peuvent effectuer toutes les opérations ci-dessus sur les Spaces d'une organisation Apigee.

Nouveau rôle permettant d'afficher les ressources Space dans la console Google Cloud

Si les utilisateurs souhaitent afficher les ressources d'API associées aux espaces à l'aide de l'interface utilisateur d'Apigee dans la console Cloud, ils auront également besoin d'un rôle personnalisé : ApigeeSpaceUser. Pour en savoir plus sur l'utilisation de l'interface utilisateur afin d'afficher et de gérer les ressources d'API dans Spaces, consultez Gérer les ressources d'API dans Apigee Spaces.

Vérifiez que ce rôle personnalisé est accordé à tout utilisateur souhaitant utiliser Apigee dans la console Cloud pour afficher et gérer les ressources de l'espace. Si le rôle ApigeeSpaceUser n'est pas déjà disponible dans IAM pour vos utilisateurs, demandez à l'administrateur de votre organisation d'ajouter ce rôle au projet Google Cloud de l'organisation.

L'administrateur peut créer le rôle à l'aide de la commande suivante :

gcloud iam roles create ApigeeSpaceUser \
  --project="PROJECT_ID" \
  --title="Apigee Space User" \
  --description="Apigee Space User"\
  --permissions="apigee.entitlements.get,apigee.organizations.get,apigee.organizations.list,apigee.projectorganizations.get,resourcemanager.projects.get,apigee.spaces.list,apigee.spaces.get,apigee.deployments.list,apigee.environments.list,apigee.environments.get,apigee.envgroups.list,apigee.envgroupattachments.list,apigee.instances.list,apigee.apps.list" \
  --stage=GA

Remplacez PROJECT_ID par le nom du projet Google Cloud dans lequel l'organisation Apigee a été créée.

Afficher et attribuer des rôles à l'aide d'IAM dans la console Google Cloud

Vous pouvez confirmer les attributions de rôles et les autorisations disponibles pour les membres de l'espace et les administrateurs de l'organisation à l'aide d'IAM dans la console Google Cloud.

Limites

Les limites suivantes s'appliquent à Apigee Spaces :

• Apigee Spaces n'est pas compatible avec l'interface utilisateur classique d'Apigee. Pour afficher les espaces et gérer les ressources associées, utilisez l'interface utilisateur Apigee dans la console Cloud ou l'API.
• Apigee dans la console Cloud ne peut pas être utilisé pour effectuer les actions suivantes :
  • Créer, récupérer, mettre à jour, supprimer ou lister des Spaces
  • Gérer les stratégies IAM pour les Spaces

  Ces actions doivent être effectuées à l'aide de l'API.

• Vous pouvez créer jusqu'à 1 000 Spaces par organisation Apigee.
• La limite est de 10 requêtes par seconde (RPS) pour les opérations list pour les points de terminaison de proxy d'API, de produit d'API et de flux partagé.

Étape suivante

• Découvrez comment créer et gérer Apigee Spaces.
• Découvrez comment gérer les ressources d'API dans Apigee Spaces.