Visão geral do Apigee Spaces

Confira a documentação da Apigee Edge.

Neste tópico, descrevemos como usar os espaços da Apigee para ativar o controle granular do Identity and Access Management nos recursos da organização da Apigee.

O Apigee Spaces permite o isolamento e o agrupamento de recursos de API com base na identidade em uma organização do Apigee. Com o Apigee Spaces, você pode ter controle granular do IAM sobre o acesso aos seus proxies de API, fluxos compartilhados e produtos de API.

É possível criar vários espaços na mesma organização para diferentes equipes, projetos de desenvolvimento ou ambientes e definir os controles do IAM para cada espaço. Todos os recursos criados em um espaço herdam as políticas do IAM aplicadas a ele.

Quando usar o Apigee Spaces

Gerenciar permissões do IAM para várias equipes que trabalham em uma única organização da Apigee pode ser complexo. O uso dos Espaços pode simplificar a administração do IAM com controles granulares e permissões simplificadas para acessar os recursos da organização.

Com os Espaços, é possível hospedar várias equipes em uma organização da Apigee em que:

  • Cada equipe mantém seu próprio conjunto independente de proxies de API, fluxos compartilhados e produtos de API.
  • Os membros da equipe têm acesso de leitura/gravação ao conjunto de proxies, fluxos compartilhados e produtos de API.
  • Os membros de outra equipe podem receber acesso específico (acesso de leitura, leitura/gravação ou rastreamento/depuração) a um ou mais dos proxies de API, fluxos compartilhados ou produtos de API.
  • Várias equipes podem acessar um conjunto comum de proxies de API, fluxos compartilhados e produtos de API com permissões refinadas.

O Apigee Spaces pode ser usado com organizações de assinatura e Pay-as-you-go da Apigee, incluindo organizações com a Apigee híbrida ativada. O Apigee Spaces pode ser usado com organizações da Apigee que tenham a residência de dados ativada. As organizações híbridas da Apigee precisam usar a versão híbrida 1.12.2. Para informações sobre como fazer upgrade para a versão 1.12, consulte Fazer upgrade da sua organização da Apigee híbrida.

Benefícios do Apigee Spaces

O uso do Apigee Spaces oferece vários benefícios, incluindo:

  • Segurança aprimorada: o uso dos espaços pode melhorar a segurança, permitindo que você controle o acesso aos recursos de forma granular. Você pode conceder a diferentes usuários e grupos acesso a diferentes Espaços e controlar quais recursos estão disponíveis em cada Espaço. Isso ajuda a isolar e proteger o acesso a recursos ou dados sensíveis.
  • Gerenciamento simplificado: os espaços ajudam a simplificar suas tarefas de gerenciamento fornecendo uma maneira de agrupar seus recursos de forma lógica. Você pode gerenciar todos os recursos em um Espaço juntos e ver facilmente quais usuários e grupos têm acesso a cada recurso.
  • Maior flexibilidade: os espaços oferecem flexibilidade para gerenciar seus recursos da Apigee. Você pode criar quantos espaços quiser e mover recursos entre eles conforme necessário, para se adaptar às necessidades em constante mudança.

Os espaços oferecem a possibilidade de introduzir o isolamento de recursos no nível da equipe, com uma separação clara dos recursos associados a diferentes equipes que operam dentro da mesma organização da Apigee. Além disso, as políticas do IAM podem ser aplicadas no nível do espaço, eliminando a necessidade de gerenciar as permissões individualmente para cada proxy de API, fluxo compartilhado e produto de API.

Permissões e papéis do IAM

Para oferecer suporte ao gerenciamento granular de acesso e controle sobre os recursos do Space, adicionamos um novo conjunto de permissões para o Apigee.

Novas permissões para o Apigee Spaces

As permissões a seguir permitem que os usuários da Apigee criem e gerenciem espaços:

  • apigee.spaces.create: crie um novo espaço em uma organização da Apigee.
  • apigee.spaces.update: atualize um espaço em uma organização da Apigee.
  • apigee.spaces.delete: exclua um espaço em uma organização da Apigee.
  • apigee.spaces.get: receba detalhes de um espaço em uma organização da Apigee.
  • apigee.spaces.list: liste todos os espaços em uma organização da Apigee.
  • apigee.spaces.getIamPolicy: receba a política do IAM associada a um espaço em uma organização da Apigee.
  • apigee.spaces.setIamPolicy: defina a política do IAM associada a um espaço em uma organização da Apigee.

Os usuários com a função role/apigee.adminV2 podem realizar todas as operações acima nos espaços de uma organização da Apigee.

Nova função para visualizar recursos do Space no console do Google Cloud

Se os usuários quiserem acessar os recursos de API associados aos espaços usando a interface da Apigee no console do Cloud, eles também precisarão de uma função personalizada: ApigeeSpaceUser. Para mais informações sobre como usar a interface para visualizar e gerenciar recursos de API no Spaces, consulte Gerenciar recursos de API no Apigee Spaces.

Verifique se esse papel personalizado é concedido a qualquer usuário que queira usar a Apigee no console do Cloud para conferir e gerenciar os recursos do Espaço. Se o papel ApigeeSpaceUser ainda não estiver disponível no IAM para seus usuários, peça ao administrador da organização para adicionar o papel ao projeto do Google Cloud da organização.

O administrador pode criar a função usando o seguinte comando: 

gcloud iam roles create ApigeeSpaceUser \
  --project="PROJECT_ID" \
  --title="Apigee Space User" \
  --description="Apigee Space User"\
  --permissions="apigee.entitlements.get,apigee.organizations.get,apigee.organizations.list,apigee.projectorganizations.get,resourcemanager.projects.get,apigee.spaces.list,apigee.spaces.get,apigee.deployments.list,apigee.environments.list,apigee.environments.get,apigee.envgroups.list,apigee.envgroupattachments.list,apigee.instances.list,apigee.apps.list" \
  --stage=GA

Substitua PROJECT_ID pelo nome do projeto do Google Cloud em que a organização da Apigee foi criada.

Conferir e atribuir papéis usando o IAM no console do Google Cloud

É possível confirmar as atribuições de função e as permissões disponíveis para os administradores da organização e os membros do espaço usando o IAM no console do Google Cloud.

Para verificar as funções

  1. No console do Google Cloud, abra a página IAM.

    Acessar IAM
  2. Selecione o projeto.

  3. Na coluna Principal, encontre todas as linhas que identificam você ou um grupo no qual você está incluído. Para saber em quais grupos você está incluído, entre em contato com o administrador.

  4. Em todas as linhas que especificam ou incluem você, verifique a coluna Papel para ver se a lista de papéis inclui os papéis necessários.

Para conceder os papéis

  1. No console do Google Cloud, abra a página IAM.

    Acesse o IAM
  2. Selecione o projeto.
  3. Clique em CONCEDER ACESSO.

  4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

  5. Na lista Selecionar um papel, escolha um.
  6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
  7. Clique em Salvar.

Limitações

As seguintes limitações se aplicam aos espaços da Apigee:

  • O Apigee Spaces não é compatível com a interface clássica da Apigee. Para conferir os espaços e gerenciar os recursos deles, use a interface da Apigee no console do Cloud ou a API.
  • Não é possível usar a Apigee no console do Cloud para realizar as ações a seguir:
    • Criar, recuperar, atualizar, excluir ou listar espaços
    • Gerenciar políticas do IAM para espaços

    Essas ações precisam ser realizadas usando a API.

  • Há um limite máximo de 1.000 espaços por organização da Apigee.
  • Há um limite de 10 consultas por segundo (QPS) para operações list de endpoints de produtos de API, de proxy de API e de fluxo compartilhado.

A seguir