Apigee 空间概览

查看 Apigee Edge 文档。

本主题介绍了如何使用 Apigee 空间实现对 Apigee 组织资源的精细 Identity and Access Management 控制。

Apigee 空间可在 Apigee 组织内实现基于身份的隔离和 API 资源分组。借助 Apigee 空间,您可以对 API 代理、共享流和 API 产品的访问权限进行精细的 IAM 控制。

您可以在同一组织中为不同的团队、开发项目或环境创建多个空间,并为每个空间设置 IAM 控制。在空间下创建的任何资源都会继承应用于该空间的 IAM 政策。

何时使用 Apigee 空间

为在单个 Apigee 组织中工作的多个团队管理 IAM 权限可能很复杂。使用空间可以通过精细的控制和简化的组织资源访问权限来简化 IAM 管理。

借助空间,您可以在 Apigee 组织中托管多个团队,其中:

  • 每个团队都维护自己的一组独立的 API 代理、共享流和 API 产品。
  • 团队成员拥有该组 API 代理、共享流和 API 产品的读取/写入权限。
  • 其他团队的成员可以获得一个或多个 API 代理、共享流或 API 产品的特定访问权限(读取或读取/写入或跟踪/调试权限)。
  • 多个团队能够以精细的权限访问一组通用的 API 代理、共享流和 API 产品。

Apigee 空间可与 Apigee 订阅Pay-as-you-go组织(包括启用了 Apigee Hybrid 的组织)搭配使用。空间可与启用了数据驻留的 Apigee 组织搭配使用。Apigee Hybrid 组织必须使用 Hybrid 1.12.2 版。如需了解如何升级到 1.12.2 版,请参阅升级 Apigee Hybrid 组织

Apigee 空间的优势

使用 Apigee 空间有多项优势,包括:

  • 提高安全性:使用空间可以精细地控制对资源的访问权限,从而提高安全性。您可以向不同用户和群组授予对不同空间的访问权限,并控制每个空间中可用的资源。这样,您就可以隔离并保护对敏感数据或资源的访问权限。
  • 简化管理:通过提供一种对资源进行逻辑分组的方式,空间可帮助您简化管理任务。您可以集中管理空间中的所有资源,并轻松查看哪些用户和群组有权访问每项资源。
  • 提高灵活性:空间为您提供了管理 Apigee 资源的方式的灵活性。您可以根据需要创建任意数量的空间,并可根据需要在空间之间移动资源,从而适应不断变化的需求。

空间让您能够在团队级层引入资源隔离,从而明确划分与同一 Apigee 组织中不同团队相关联的资源。此外,可以在空间级层应用 IAM 政策,这样您便无需单独为每个 API 代理、共享流和 API 产品管理权限。

IAM 权限和角色

为了支持对空间资源的精细访问权限管理和控制,我们为 Apigee 引入了一组新权限。

针对 Apigee 空间的新权限

以下权限可让 Apigee 用户创建和管理空间:

  • apigee.spaces.create:在 Apigee 组织中创建新空间。
  • apigee.spaces.update:更新 Apigee 组织中的现有空间。
  • apigee.spaces.delete:删除 Apigee 组织中的现有空间。
  • apigee.spaces.get:获取 Apigee 组织中现有空间的详细信息。
  • apigee.spaces.list:列出 Apigee 组织中的所有空间。
  • apigee.spaces.getIamPolicy:获取与 Apigee 组织中的空间关联的 IAM 政策。
  • apigee.spaces.setIamPolicy:设置与 Apigee 组织中的空间关联的 IAM 政策。

具有 role/apigee.adminV2 角色的用户可以对 Apigee 组织中的空间执行上述所有操作。

在 Google Cloud 控制台中查看空间资源的新角色

如果用户希望使用 Cloud 控制台中的 Apigee 界面查看与空间关联的 API 资源,还需要具有自定义角色:ApigeeSpaceUser。如需详细了解如何使用界面查看和管理空间中的 API 资源,请参阅管理 Apigee 空间中的 API 资源

检查以确保向任何希望使用 Cloud 控制台中的 Apigee 查看和管理空间资源的用户授予此自定义角色。如果 IAM 中尚未为您的用户提供 ApigeeSpaceUser 角色,请让您的组织管理员为组织的 Google Cloud 项目添加该角色。

管理员可以使用以下命令创建该角色: 

gcloud iam roles create ApigeeSpaceUser \
  --project="PROJECT_ID" \
  --title="Apigee Space User" \
  --description="Apigee Space User"\
  --permissions="apigee.entitlements.get,apigee.organizations.get,apigee.organizations.list,apigee.projectorganizations.get,resourcemanager.projects.get,apigee.spaces.list,apigee.spaces.get,apigee.deployments.list,apigee.environments.list,apigee.environments.get,apigee.envgroups.list,apigee.envgroupattachments.list,apigee.instances.list,apigee.apps.list" \
  --stage=GA

PROJECT_ID 替换为在其中创建 Apigee 组织的 Google Cloud 项目的名称。

在 Google Cloud 控制台中使用 IAM 查看和分配角色

您可以在 Google Cloud 控制台中使用 IAM 确认空间成员和组织管理员可用的角色分配和权限。

检查角色

  1. 在 Google Cloud 控制台中,转到 IAM 页面。

    转到 IAM
  2. 选择项目。

  3. 主账号列中,找到标识您或您所属群组的所有行。如需了解您属于哪些群组,请与您的管理员联系。

  4. 对于指定或包含您的所有行,请检查角色列以查看角色列表是否包含所需的角色。

授予角色

  1. 在 Google Cloud 控制台中,转到 IAM 页面。

    前往 IAM
  2. 选择项目。
  3. 点击 授予访问权限

  4. 新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。

  5. 选择角色列表中,选择一个角色。
  6. 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
  7. 点击保存

限制

以下限制适用于 Apigee 空间:

  • 经典版 Apigee 界面不支持 Apigee 空间。如需查看空间和管理空间资源,请使用 Cloud 控制台中的 Apigee 界面或 API。
  • Cloud 控制台中的 Apigee 不能用于执行以下操作:
    • 创建、获取、更新、删除或列出空间
    • 管理空间的 IAM 政策

    您必须使用 API 执行这些操作。

  • 每个 Apigee 组织最多有 1,000 个空间。
  • 对于 API 代理、API 产品和共享流端点的 list 操作,每秒查询次数 (QPS) 限制为 10。

后续步骤