Apigee 스페이스 개요

컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

Apigee Edge 문서 보기

이 주제에서는 Apigee 스페이스를 사용하여 Apigee 조직 리소스에 대한 세분화된 Identity and Access Management 제어를 사용 설정하는 방법을 설명합니다.

Apigee 스페이스를 사용하면 Apigee 조직 내에서 ID 기반의 API 리소스 격리 및 그룹화를 사용할 수 있습니다. Apigee 스페이스를 사용하면 API 프록시, 공유 흐름, API 제품에 대한 액세스를 세분화된 IAM으로 제어할 수 있습니다.

동일한 조직에 서로 다른 팀, 개발 프로젝트 또는 환경에 대해 여러 스페이스를 만들고 각 스페이스에 대해 IAM 제어를 설정할 수 있습니다. 스페이스 아래에서 생성된 모든 리소스는 해당 스페이스에 적용된 IAM 정책을 상속합니다.

Apigee 스페이스를 사용해야 하는 경우

단일 Apigee 조직 내에서 작업하는 여러 팀의 IAM 권한을 관리하는 것은 복잡할 수 있습니다. 스페이스를 사용하면 세분화된 제어와 조직 리소스 액세스에 대한 간소화된 권한으로 IAM 관리를 간소화할 수 있습니다.

스페이스를 사용하면 다음과 같은 Apigee 조직에서 여러 팀을 호스팅할 수 있습니다.

• 각 팀은 자체적으로 독립적인 API 프록시, 공유 흐름, API 제품을 유지관리합니다.
• 팀 구성원은 API 프록시, 공유 흐름, API 제품 집합에 대해 읽기/쓰기 액세스 권한을 갖습니다.
• 다른 팀의 구성원에게 하나 이상의 API 프록시, 공유 흐름 또는 API 제품에 대한 특정 액세스 권한(읽기, 읽기/쓰기 또는 trace/디버그 액세스)을 부여할 수 있습니다.
• 여러 팀이 세분화된 권한으로 공통 API 프록시, 공유 흐름, API 제품 집합에 액세스할 수 있습니다.

Apigee 스페이스는 Apigee Hybrid 지원 조직을 비롯하여 Apigee 구독 및 Pay-as-you-go 조직에서 사용할 수 있습니다. 데이터 상주가 사용 설정된 Apigee 조직에서 스페이스를 사용할 수 있습니다. Apigee Hybrid 조직은 Hybrid 버전 1.12.2를 사용해야 합니다. 버전 1.12.2로 업그레이드하는 방법에 대한 자세한 내용은 Apigee Hybrid 조직 업그레이드를 참조하세요.

Apigee 스페이스의 이점

Apigee 스페이스를 사용하면 다음과 같은 여러 이점이 있습니다.

• 보안 개선: 스페이스를 사용하면 세부적인 수준에서 리소스에 대한 액세스를 제어할 수 있어 보안을 강화할 수 있습니다. 여러 사용자와 그룹에 서로 다른 스페이스에 대한 액세스 권한을 부여하고 각 스페이스에서 사용할 수 있는 리소스를 제어할 수 있습니다. 이를 통해 민감한 정보 또는 리소스에 대한 액세스를 격리하고 보호할 수 있습니다.
• 간소화된 관리: 스페이스를 사용하면 리소스를 논리적으로 그룹화하는 방법을 제공하여 관리 작업을 간소화할 수 있습니다. 스페이스의 모든 리소스를 함께 관리할 수 있으며 각 리소스에 액세스할 수 있는 사용자와 그룹을 쉽게 확인할 수 있습니다.
• 유연성 향상: 스페이스를 사용하면 Apigee 리소스를 유연하게 관리할 수 있습니다. 필요한 만큼 스페이스를 만들 수 있으며 필요에 따라 스페이스 간에 리소스를 이동하여 변화하는 니즈에 맞게 조정할 수 있습니다.

스페이스를 사용하면 팀 수준에서 리소스를 격리하여 동일한 Apigee 조직 내에서 작업하는 여러 팀과 관련된 리소스를 명확하게 구분할 수 있습니다. 또한 스페이스 수준에서 IAM 정책을 적용할 수 있으므로 모든 API 프록시, 공유 흐름, API 제품에 대해 개별적으로 권한을 관리할 필요가 없습니다.

IAM 권한 및 역할

스페이스 리소스에 대한 액세스 및 제어를 세밀하게 관리할 수 있도록 Apigee에 대한 새로운 권한 집합이 도입되었습니다.

Apigee 스페이스의 새로운 권한

다음 권한이 있으면 Apigee 사용자가 스페이스를 만들고 관리할 수 있습니다.

• apigee.spaces.create: Apigee 조직에 새 스페이스를 만듭니다.
• apigee.spaces.update: Apigee 조직의 기존 스페이스를 업데이트합니다.
• apigee.spaces.delete: Apigee 조직에서 기존 스페이스를 삭제합니다.
• apigee.spaces.get: Apigee 조직의 기존 스페이스에 대한 세부정보를 가져옵니다.
• apigee.spaces.list: Apigee 조직의 모든 스페이스를 나열합니다.
• apigee.spaces.getIamPolicy: Apigee 조직의 스페이스와 연결된 IAM 정책을 가져옵니다.
• apigee.spaces.setIamPolicy: Apigee 조직의 스페이스와 연결된 IAM 정책을 설정합니다.

role/apigee.adminV2 역할이 있는 사용자는 Apigee 조직의 스페이스에서 위의 모든 작업을 수행할 수 있습니다.

Google Cloud 콘솔에서 스페이스 리소스를 볼 수 있는 새로운 역할

사용자가 Cloud 콘솔의 Apigee UI를 사용하여 스페이스와 연결된 API 리소스를 보려면 커스텀 역할인 ApigeeSpaceUser도 필요합니다. UI를 사용하여 스페이스에서 API 리소스를 보고 관리하는 방법에 관한 자세한 내용은 Apigee 스페이스에서 API 리소스 관리를 참조하세요.

Cloud 콘솔에서 Apigee를 사용하여 스페이스 리소스를 보고 관리하려는 모든 사용자에게 이 커스텀 역할이 부여되었는지 확인합니다. IAM에서 아직 사용자에게 ApigeeSpaceUser 역할을 제공하지 않는 경우 조직 관리자에게 조직의 Google Cloud 프로젝트에 대한 역할을 추가해 달라고 요청하세요.

관리자는 다음 명령어를 사용하여 역할을 만들 수 있습니다.

gcloud iam roles create ApigeeSpaceUser \
  --project="PROJECT_ID" \
  --title="Apigee Space User" \
  --description="Apigee Space User"\
  --permissions="apigee.entitlements.get,apigee.organizations.get,apigee.organizations.list,apigee.projectorganizations.get,resourcemanager.projects.get,apigee.spaces.list,apigee.spaces.get,apigee.deployments.list,apigee.environments.list,apigee.environments.get,apigee.envgroups.list,apigee.envgroupattachments.list,apigee.instances.list,apigee.apps.list" \
  --stage=GA

PROJECT_ID를 Apigee 조직이 생성된 Google Cloud 프로젝트의 이름으로 바꿉니다.

Google Cloud 콘솔에서 IAM을 사용하여 역할 보기 및 할당

Google Cloud 콘솔에서 IAM을 사용하여 스페이스 구성원 및 조직 관리자가 사용할 수 있는 역할 할당 및 권한을 확인할 수 있습니다.

제한사항

Apigee 스페이스에는 다음과 같은 제한사항이 적용됩니다.

• Apigee 스페이스는 기본 Apigee UI에서 지원되지 않습니다. 스페이스를 보고 스페이스 리소스를 관리하려면 Cloud 콘솔의 Apigee UI 또는 API를 사용하세요.
• Cloud 콘솔의 Apigee는 다음 작업을 실행하는 데 사용할 수 없습니다.
  • 스페이스 만들기, 가져오기, 업데이트, 삭제, 나열
  • 스페이스의 IAM 정책 관리

  이러한 작업은 API를 사용하여 수행해야 합니다.

• Apigee 조직당 스페이스는 최대 1,000개입니다.
• API 프록시, API 제품, 공유 흐름 엔드포인트의 list 작업에는 초당 쿼리 수(QPS)가 10개로 제한됩니다.

다음 단계

• Apigee 스페이스 만들기 및 관리 방법 알아보기
• Apigee 스페이스에서 API 리소스를 관리하는 방법 알아보기