Apigee Spaces の概要

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

Apigee Edge のドキュメントはこちらをご覧ください。

このトピックでは、Apigee Spaces を使用して、Apigee 組織リソースに対するきめ細かい Identity and Access Management 制御を有効にする方法について説明します。

Apigee Spaces を使用すると、Apigee 組織内で API リソースの ID ベースの分離とグループ化を実現できます。Apigee Spaces を使用すると、API プロキシ、共有フロー、API プロダクトへのアクセスを IAM で細かく制御できます。

同じ組織内で、異なるチーム、開発プロジェクト、環境用に複数の Space を作成し、各 Space に IAM 制御を設定できます。Space で作成されたリソースは、その Space に適用される IAM ポリシーを継承します。

Apigee Spaces を使用する場合

単一の Apigee 組織内で作業する複数のチームの IAM 権限を管理するのは複雑な作業です。Spaces を使用すると、きめ細かい制御により、組織リソースへのアクセス権を簡素化し、IAM の管理を省力化できます。

Spaces を使用すると、Apigee 組織で複数のチームをホストできます。

• 各チームは、API プロキシ、共有フロー、API プロダクトの独自のセットを維持します。
• チームメンバーには、API プロキシ、共有フロー、API プロダクトのセットに対する読み取り / 書き込み権限が付与されます。
• 別のチームのメンバーには、1 つ以上の API プロキシ、共有フロー、API プロダクトに対する特定のアクセス権（読み取り、読み取り / 書き込み、トレース / デバッグ アクセス）を付与できます。
• 複数のチームが、きめ細かい権限を使用して、共通の API プロキシ、共有フロー、API プロダクトにアクセスできます。

Apigee Spaces は、Apigee のサブスクリプション組織と従量課金制組織（Apigee ハイブリッド対応組織を含む）で使用できます。Spaces は、データ所在地が有効になっている Apigee 組織で使用できます。Apigee ハイブリッド組織では、ハイブリッド バージョン 1.12.2 を使用する必要があります。バージョン 1.12.2 へのアップグレードについては、Apigee ハイブリッド組織をアップグレードするをご覧ください。

Apigee Spaces のメリット

Apigee Spaces を使用すると、次のようなメリットがあります。

• セキュリティの強化: Spaces を使用すると、リソースへのアクセスをきめ細かく制御できるため、セキュリティを強化できます。さまざまなユーザーとグループにさまざまな Space へのアクセス権を付与し、各 Space で使用可能なリソースを制御できます。これにより、機密データやリソースへのアクセスを分離して保護できます。
• 管理の簡素化: スペースを使用すると、リソースを論理的にグループ化できるため、管理タスクを簡素化できます。Space 内のすべてのリソースをまとめて管理できます。また、各リソースにアクセスできるユーザーとグループを簡単に確認できます。
• 柔軟性の向上: スペースを使用すると、Apigee リソースを柔軟に管理できます。Space は必要に応じていくつでも作成できます。また、必要に応じて Space 間でリソースを移動できるため、変化するニーズに適応できます。

Spaces を使用すると、チームレベルでリソースの分離を導入し、同じ Apigee 組織内の異なるチームに関連付けられたリソースを明確に分離できます。また、IAM ポリシーを Space レベルで適用できるため、すべての API プロキシ、共有フロー、API プロダクトの権限を個別に管理する必要がなくなります。

IAM の権限とロール

Space リソースに対するアクセスと制御のきめ細かい管理をサポートするため、Apigee に新しい権限セットが導入されました。

Apigee Spaces の新しい権限

Apigee ユーザーが Spaces を作成および管理するには、次の権限が必要です。

• apigee.spaces.create: Apigee 組織に新しい Space を作成します。
• apigee.spaces.update: Apigee 組織内の既存の Space を更新します。
• apigee.spaces.delete: Apigee 組織内の既存の Space を削除します。
• apigee.spaces.get: Apigee 組織内の既存の Space の詳細を取得します。
• apigee.spaces.list: Apigee 組織内のすべての Space を一覧表示します。
• apigee.spaces.getIamPolicy: Apigee 組織内の Space に関連付けられた IAM ポリシーを取得します。
• apigee.spaces.setIamPolicy: Apigee 組織内の Space に関連付けられた IAM ポリシーを設定します。

role/apigee.adminV2 ロールを持つユーザーは、Apigee 組織内の Space に対して上記のすべてのオペレーションを実行できます。

Google Cloud コンソールで Space リソースを表示するための新しいロール

Cloud コンソールの Apigee UI を使用して Space に関連付けられた API リソースを表示するには、カスタムロール ApigeeSpaceUser も必要です。UI を使用して Spaces で API リソースを表示および管理する方法については、Apigee Spaces で API リソースを管理するをご覧ください。

Cloud コンソールの Apigee を使用して Space リソースを表示および管理するユーザーに、このカスタムロールが付与されていることを確認します。ユーザーの IAM で ApigeeSpaceUser ロールをまだ使用できない場合は、組織の Google Cloud プロジェクトにロールを追加するよう組織管理者に依頼してください。

管理者は、次のコマンドを使用してロールを作成できます。

gcloud iam roles create ApigeeSpaceUser \
  --project="PROJECT_ID" \
  --title="Apigee Space User" \
  --description="Apigee Space User"\
  --permissions="apigee.entitlements.get,apigee.organizations.get,apigee.organizations.list,apigee.projectorganizations.get,resourcemanager.projects.get,apigee.spaces.list,apigee.spaces.get,apigee.deployments.list,apigee.environments.list,apigee.environments.get,apigee.envgroups.list,apigee.envgroupattachments.list,apigee.instances.list,apigee.apps.list" \
  --stage=GA

PROJECT_ID は、Apigee 組織が作成された Google Cloud プロジェクトの名前に置き換えます。

Google Cloud コンソールで IAM を使用してロールを表示および割り当てる

Space のメンバーと組織管理者が利用できるロールの割り当てと権限は、Google Cloud コンソールの IAM を使用して確認できます。

制限事項

Apigee Spaces には次の制限が適用されます。

• Apigee Spaces は、従来の Apigee UI ではサポートされていません。Space を表示して Space リソースを管理するには、Cloud コンソールの Apigee UI または API を使用します。
• Cloud コンソールの Apigee では、次の操作を行うことはできません。
  • Space の作成、取得、更新、削除、一覧表示
  • Space の IAM ポリシーの管理

  これらの操作は API を使用して行う必要があります。

• Apigee Spaces の一般提供リリースでは、Apigee 組織あたり 20 個の Space という上限が予定されています。
• API プロキシ、API プロダクト、共有フロー エンドポイントの list オペレーションには、秒間クエリ数（QPS）10 件という上限があります。

次のステップ

• Apigee Space の作成と管理方法を学習する。
• Apigee Spaces で API リソースを管理する方法を知る。