組織について

このページの内容は ApigeeApigee ハイブリッドに該当します。

Apigee Edge のドキュメントを表示する。

組織は、Apigee Edge の最上位コンテナです。Apigee 組織には、すべての API プロキシと関連リソースが含まれています。このトピックの残りの部分では組織について詳しく解説しますが、ここではいくつかの実践的なポイントを紹介します。

  • Apigee 組織は、Google Cloud 組織とは異なる独立した組織であり、Google Cloud 組織の下位組織です。Apigee X または Apigee ハイブリッドの組織を作成すると、その組織は 1 つの Google Cloud プロジェクトにマッピングされ、Apigee 組織と Google Cloud プロジェクトは同じ名前を共有します。すべての Google Cloud プロジェクトに Apigee 組織が関連付けられているわけではありません。
  • Apigee のドキュメントで「組織」という用語が使用されている場合、それは Apigee 組織を指します。Apigee のドキュメントでは、この代替手段を「Google Cloud 組織」というフレーズで参照しています。
  • 作成した Apigee 組織の名前を変更することはできません。
  • Apigee 組織名は、Google Cloud コンソールの Apigee セクションの URL でプロジェクトとして表示されます。次に例を示します。
    https://console.cloud.google.com/apigee/overview?project=ORG_ID
  • Apigee API への REST 呼び出しを呼び出す場合、組織 ID はパスの必須要素です。たとえば、次の curl リクエストは、組織 API を使用する組織内のすべての API プロキシのリストを返します。
    curl https://apigee.googleapis.com/v1/organizations/ORG_ID/apis
  • 組織を 1 つしか作成していない場合でも、特定の権限を持つユーザーまたは管理者として他の組織で承認を得ることができます。Cloud コンソールでは、組織の切り替えで説明しているように、別の組織に切り替えることができます。

動画: 組織により、API 管理のマルチテナンシー アーキテクチャがどのようにサポートされるかについての短い動画をご覧ください。

組織の種類

組織には次の 2 つのタイプがあります。

  • 有料: 優れたスケーラビリティを備えた永続的な組織。本番環境組織とも呼ばれます。有料組織には、サブスクリプションまたは従量課金制の Apigee 料金モデルの一部として作成された組織が含まれます。

  • 評価: Apigee をテストするための一時的なセルフサービスの組織。この組織は「評価組織」とも呼ばれます。時限的であり、本番環境組織のようなスケーラビリティと柔軟性はありません。

評価組織と有料組織の比較もご覧ください。

評価組織の有効期間

評価組織の存続期間は限られています。

  1. 0 日目: 評価組織を作成します。
  2. 30 日目: Google により、有効期限が近づいていることを知らせるメール通知が送信されます。
  3. 60 日目: Google により、評価組織が削除されます。

Google Cloud 階層内の Apigee 組織

次の図は、Apigee 組織と環境、Google Cloud プロジェクトとフォルダの関係を示しています。

Google Cloud 組織階層内の Apigee 組織を示す図

組織内のコンポーネント

次の図では、Apigee 組織モデルの主要コンポーネントを示します。 このモデルは、API、API プロダクト、アプリ、アプリ開発者が Apigee 内でどのように関係しているかを定義しています。

組織が Apigee デプロイの root になっていることを示す階層図。

このモデルは、Apigee のすべての機能を表示するわけではありませんが、組織がデプロイのルートであることを示しています。

組織モデルのコンポーネントについて、その詳細を次の表で説明します。

構成要素 説明
組織

各 Apigee 組織は 1 つの Google Cloud プロジェクトに属し、1 つのプロジェクトには最大 1 つまでの組織しか含めることができません。組織には、環境、API プロキシ、API プロダクト、API パッケージ、アプリ、ユーザーが含まれます。

アカウント所有者は、1 つの組織に制限されません。アカウント所有者は、異なるアプリ開発者コミュニティをサポートする複数の組織のメンバーを定義すること、またはそうしたメンバーが該当することがあります。

環境と環境グループ

環境は、API プロキシをデプロイする組織内の分離されたソフトウェア環境です。 1 つの組織には、複数の環境を作成できます。

環境グループは、1 つ以上のホスト名を持つ環境のグループです。ホスト名は、環境グループ内の任意の環境にデプロイされた API プロキシの呼び出しに使用される URL の一部です。

API プロキシ

API プロキシは、受信リクエストとバックエンド サービスの間のインターフェースです。プロキシ エンティティには、クライアントからのリクエストとバックエンドからのレスポンスを処理する際に Apigee が実行する手順とポリシーが含まれます。

API プロダクト

API を公開するためのエンティティ。API プロダクトは、外部のデベロッパーが使用できるようにデベロッパー ポータルに公開されます。API プロダクトは、1 つ以上の公開 API にアクセスするためのインターフェースを提供します。インターフェース(OpenAPI 仕様を使用して記述できます)には、1 つ以上の API プロキシによって処理される 1 つ以上の API リクエストの組み合わせを含めることができます。

API プロダクトは、組織内のユーザーが作成します。その際、各 API プロダクトに任意のメタデータを追加できます。よく使用されるタイプのメタデータの 1 つでサービスプランを定義できます。このサービスプランでは、API 呼び出しのアクセス制限の指定、セキュリティ要件の規定、モニタリングと分析の許可、追加機能の提供を行えます。

API プロダクトの分析用のデータは、Apigee により収集されます。

API プロバイダ

API プロキシとプロダクトを作成および管理する個人またはエンティティ。これらの公開された API には、クライアントのアプリ開発者がアクセスします。

アプリ開発者

組織には、組織が定義した API(API プロダクトとして公開)を使用するアプリを構築する 1 人以上の開発者が属します。開発者は API を使用しますが、組織内で API の作成などのアクションは行えません。

開発者は、会社内部のユーザーやパートナーの場合もあれば、外部のデベロッパー(API へのアクセスのために料金を支払う場合と料金が発生しない場合がある)の場合もあります。開発者は、API を使用する顧客と考えることができます。

デベロッパーは、組織に登録された後、アプリを登録して API にアクセスするための API キーまたはその他のクライアント認証情報を受け取る必要があります。組織内の開発者を追加、更新、削除する方法は API プロバイダが判断します。UI を使用して手動で追加する方法、ウェブサイトで登録するためのデベロッパー ポータルを作成する方法、Apigee API を使用して独自の登録メカニズムを定義して実装する方法を選択できます。

Apigee アプリ(またはアプリ)

API を使用するクライアント アプリは、Apigee 開発者が 1 つ以上作成します。

認証情報のチェックを必要とする API(API キーや OAuth トークンなど)を呼び出すクライアント アプリケーションを作成する開発者は、まず組織でのアプリ登録を作成する必要があります。アプリを登録すると、クライアント アプリケーションが API を呼び出す際に使用する必要がある API キー、キーとシークレットのペア、その他の認証情報が開発者に提供されます。

すべてのアプリが組織に登録されているため、アプリと API の使用に関する分析情報は Apigee でモニタリングおよび収集できます。

図に示されていない Apigee のその他のコンポーネントは、API キーと OAuth トークンです。

Apigee は、シンプル API キー、Two-legged OAuth、3-legged OAuth など、さまざまな種類の認証をサポートしています。

API プロバイダが認証メカニズムとして API キー検証を指定している場合、クライアント アプリケーションは API へのリクエストごとに API キーを渡す必要があります。そのキーが有効な場合、Apigee はリクエストを許可します。または、API プロバイダが認証メカニズムとして OAuth トークン検証を指定している場合、クライアント アプリケーションはまず OAuth トークンを取得してから、API に対するすべてのリクエストでそのトークンを渡す必要があります。そのトークンが有効な場合、Apigee はリクエストを許可します。他のカスタム認証スキームが使用される可能性があります。

API プロバイダは、開発者が自分のアプリを登録する方法を定める必要があります。各アプリ登録には、1 つ以上のキーまたは認証情報が関連付けられます。開発者がデベロッパー ポータルを介して独自のアプリケーションを登録できるようにする場合、開発者は、便利なセルフサービス エクスペリエンスを介して、API へのアクセスに必要なキーまたは認証情報を取得できます。

開発者は、アプリの登録時に単独の API プロダクトにアクセスするか、複数の API プロダクトにアクセスするかを選択できます。開発者のアプリは、アプリに関連付けられているすべての API プロダクトに、同じキーまたは認証情報を使用してアクセスします。

キーを取り消して開発者のアプリが API にアクセスできないようにすることは、いつでも(開発者によるアプリの登録済み表現が組織内に存在する場合も)可能です。また、デベロッパーを取り消すこともできます。この場合、そのデベロッパーに登録されているアプリの認証情報がすべて使用できなくなります。取り消しは元に戻すことができます。 Apigee がアプリ認証情報を作成するときに有効期限を指定すると、デベロッパーは特定の期間後に新しいキーまたは認証情報を取得する必要があります。

Apigee ユーザー

Apigee ユーザーは、組織の API チームの構成し、そのチームには、管理者、API プロキシおよび API プロダクトの作成者、分析やその他の統計情報をモニタリングするユーザーなどを含めることができます。エンドユーザーは Apigee デベロッパーが開発したアプリを使用するユーザーです。このドキュメントで「ユーザー」と表記した場合、通常は Apigee ユーザーを指します。

管理者はユーザーを組織に追加できます。

ユーザーに応じて、さまざまなロールやアクセス権限を持つことができます。たとえば、一部のユーザーを、組織とそのコンポーネントを変更する権限を持つ組織管理者や運用管理者として定義し、他のユーザーを、API プロキシと API プロダクトを作成する権限を持つが、他のユーザーを変更する権限は持たないユーザーとして定義します。

ユーザーは複数の組織のメンバーになることができます。たとえば、社内で同一の人物がすべての API プロキシと API プロダクトを構築しており、そのため全部の組織のメンバーである場合でも、会社は Apigee でさまざまなデベロッパー コミュニティをサポートするための複数の組織を定義できます。

ユーザーとなるために Apigee 組織を作成する必要はありません。管理者から既存の組織に追加してもらうことができます。

すべてのユーザーは、Cloud コンソールの Apigee UI から Apigee にログインします。

利用資格と課金

有料組織がサブスクリプション従量課金制のどちらの料金モデルを使用しているかにかかわらず、請求目的で課金される項目は、環境、API 呼び出し、プロキシのデプロイです。

定期購入プランでは、利用資格を前払いすることで、大幅な割引を受けることができます。サブスクリプション プランは、環境の数が多い、API 呼び出しが多い、Apigee によって管理されている API プロキシが多いなど、使用量が多い場合に適しています。従量制モデルでは、使用したリソースに対してのみ料金が発生しますが、一括割引は適用されません。

サブスクリプションの利用資格

組織

Apigee は任意の Google Cloud プロジェクトで有効にできます。これにより、そのプロジェクトの Apigee 組織が作成されます。組織はいくつでも作成できます。Google Cloud プロジェクトの作成に利用資格や料金が不要であるように、Apigee 組織の作成に利用資格は必要ありません。

環境

環境の利用資格はユニットで表されます。環境ユニットの利用資格を使用するには、2 段階のプロセスで、まず環境を作成してから、その環境を組織に接続します。環境が組織に接続されている場合、環境ユニットの利用資格にカウントされます。単一の組織内の環境の最大数については、 上限をご覧ください。

使用可能な Google Cloud リージョンの 1 つ以上で Apigee 環境を作成できます。環境がマッピングされる各リージョンは、利用資格から 1 つの環境ユニットを消費します。単一リージョンにプロビジョニングされた環境は、利用資格から 1 つの環境ユニットを消費します。2 つのリージョンにプロビジョニングされた環境は、2 つの環境ユニットを利用資格から消費します。環境ユニットの合計使用量は、すべての組織で使用される環境ユニットの数の合計です。

環境ユニットの利用資格の合計は、サブスクリプション階層で指定された利用資格と、環境パックを介して取得した追加の利用資格の合計となります。

Google は環境の利用資格を適用します。利用資格の上限を超えることはできません。利用資格の上限を超える環境を作成しようとすると、エラーが発生します。環境パックを追加購入することで、利用資格を拡張できます。

API 呼び出し

Google は、Apigee によって処理された各 API 呼び出しをカウントします。API 呼び出しの利用資格の合計は、サブスクリプション階層で指定された利用資格と、通話パックを介して取得した追加の利用資格の合計です。

サブスクリプション プランでは、API 呼び出しの利用資格の上限は適用されません。API 呼び出しの利用資格を超えた場合、Apigee は API 呼び出しを引き続き提供します。既存の利用資格を超える使用量に対しては、Google から請求されます。追加の呼び出しパックを購入することで、API 呼び出しの利用資格をいつでも拡張できます。

プロキシ デプロイ

Google は、デプロイする API プロキシを個別にカウントします。プロキシのデプロイの利用資格の合計は、サブスクリプション階層で指定された利用資格と、プロキシのデプロイ パックを介して取得した追加の利用資格の合計です。

サブスクリプション プランでは、プロキシのデプロイは利用資格に制限されません。利用資格で許可されているプロキシよりも多くのプロキシをデプロイし、プロキシのデプロイの利用資格を超えた場合、Apigee は引き続き新しいプロキシのデプロイを許可し、API 呼び出しを引き続き処理します。既存の利用資格を超える使用量に対しては、Google から請求されます。プロキシ デプロイの利用資格を拡張するには、追加のコールパックを購入します。

詳しくは、サブスクリプションの利用資格をご覧ください。

従量課金制の利用資格

組織

Apigee は任意の Google Cloud プロジェクトで有効にできます。これにより、そのプロジェクトの Apigee 組織が作成されます。組織はいくつでも作成できます。Google Cloud プロジェクトの作成が無料であるように、従量制の料金モデルでは Apigee 組織の作成も無料です。

環境

Apigee 組織には複数の環境を接続できます。環境を使用するには、2 段階のプロセスがあります。まず環境を作成し、次にその環境を組織に接続します。Google は、組織に接続されている環境に対して課金します。

1 つの組織で作成できる環境は最大 85 個です。

マルチリージョン環境の場合、環境が利用可能なリージョンごとに課金されます。使用可能な Google Cloud リージョンを選択できます。

API 呼び出し

Google は、Apigee によって処理された各 API 呼び出しをカウントします。Google は、Apigee 環境で処理される API 呼び出しの数に基づいて課金します。制限はありませんApigee は自動スケーリングを行い、負荷が増加しても API 呼び出しを引き続き処理します。

プロキシ デプロイ

Google は、デプロイする API プロキシを個別にカウントします。Apigee 環境にデプロイされた API プロキシの数に基づいて課金されます。

詳しくは、従量課金制の利用資格をご覧ください。