本页面适用于 Apigee 和 Apigee Hybrid。
查看 Apigee Edge 文档。
本页介绍了如何使用 Apigee 空间对 Apigee 组织资源实现精细的 Identity and Access Management 控制。
Apigee 空间支持在 Apigee 组织内基于身份隔离和分组 API 资源。借助 Apigee 空间,您可以对 API 代理、共享流和 API 产品的访问权限进行精细的 IAM 控制。
您可以在同一组织中为不同的团队、开发项目或环境创建多个空间,并为每个空间设置 IAM 控制。在空间下创建的任何 API 资源都会继承应用于该空间的 IAM 政策。
何时使用 Apigee 空间
为在单个 Apigee 组织中工作的多个团队管理 IAM 权限可能很复杂。使用空间可以通过精细的控制和简化的组织资源访问权限来简化 IAM 管理。
借助空间,您可以在 Apigee 组织中托管多个团队,其中:
- 每个团队都维护自己的一组独立的 API 代理、共享流和 API 产品。
- 团队成员拥有该组 API 代理、共享流和 API 产品的读取/写入权限。
- 其他团队的成员可以获得一个或多个 API 代理、共享流或 API 产品的特定访问权限(读取或读取/写入或跟踪/调试权限)。
- 多个团队可以使用精细的权限访问一组常见的 API 代理、共享流和 API 产品。
Apigee 空间可与 Apigee 订阅和Pay-as-you-go组织(包括启用了 Apigee Hybrid 的组织)搭配使用。空间可与启用了数据驻留的 Apigee 组织搭配使用。Apigee Hybrid 组织必须使用 Hybrid 1.13 或更高版本。如需了解如何升级到 1.13 版,请参阅升级 Apigee Hybrid 组织。
Apigee 空间的优势
使用 Apigee 空间有多项优势,包括:
- 增强安全性:使用聊天室可让您在精细级别控制对资源的访问权限,从而增强安全性。您可以向不同用户和群组授予对不同空间的访问权限,并控制每个空间中可用的资源。这有助于隔离并保护对敏感数据或资源的访问权限。
- 简化管理:通过提供一种对资源进行逻辑分组的方式,空间可帮助您简化管理任务。您可以集中管理空间中的所有资源,并轻松查看哪些用户和群组有权访问每项资源。
- 提高灵活性:空间为您提供了管理 Apigee 资源的方式的灵活性。您可以根据需要创建任意数量的空间,并可根据需要在空间之间移动资源,从而适应不断变化的需求。
空间让您能够在团队级层引入资源隔离,从而明确划分与同一 Apigee 组织中不同团队相关联的资源。此外,可以在空间级层应用 IAM 政策,这样您便无需单独为每个 API 代理、共享流和 API 产品管理权限。
限制
以下限制适用于 Apigee 空间:
- 如需使用 Apigee Spaces,Apigee Hybrid 客户必须使用 Hybrid 1.13 或更高版本。如需了解如何升级到 1.13 版,请参阅升级 Apigee Hybrid 组织。
- 经典版 Apigee 界面不支持 Apigee 空间。如需查看空间和管理空间资源,请使用 Cloud 控制台中的 Apigee 界面或 API。
- 控制台中的 Apigee 界面 Google Cloud 不能用于执行以下操作:
- 创建、获取、更新、删除或列出空间
- 管理空间的 IAM 政策
您必须使用 API 执行这些操作。
- 使用 Apigee 空间时,存在以下限制:
- 每个 Apigee 组织最多有 20 个聊天室。
- 对于 API 代理、API 产品和共享流端点的
list操作,每秒查询次数 (QPS) 限制为 10。
如需详细了解 Apigee 限制,请参阅限制。
后续步骤
- 了解如何创建和管理 Apigee 空间。
- 探索如何管理 Apigee 空间的 API 资源。