Synchronisieren von APIs zwischen Amazon API-Gateway und Azure API Center (Vorschau)

In diesem Artikel wird gezeigt, wie Sie ein Amazon API-Gateway so integrieren, dass die APIs der Gateways im API Center-Bestand kontinuierlich auf dem neuesten Stand gehalten werden.

Informationen zum Integrieren des Amazon API-Gateways

Die Integration des Amazon API-Gateways als API-Quelle für Ihr API Center ermöglicht eine kontinuierliche Synchronisierung, sodass der API-Bestand immer auf dem neuesten Stand ist. Azure API Center kann auch APIs aus Quellen synchronisieren, einschließlich Azure API Management.

Wenn Sie ein Amazon API-Gateway als API-Quelle integrieren, geschieht Folgendes:

1. APIs und optional API-Definitionen (Spezifikationen) aus dem API-Gateway werden dem API Center-Bestand hinzugefügt.
2. Sie konfigurieren eine Umgebung des Typs Amazon API-Gateway im API Center.
3. Für jede synchronisierte API-Definition wird eine zugeordnete Bereitstellung erstellt.

Die Synchronisierung aus Amazon API-Gateway mit Azure API Center ist unidirektional. Das bedeutet, dass API-Aktualisierungen im API Center nicht mit dem Amazon API-Gateway synchronisiert werden.

Hinweis

• Die Integration von Amazon API-Gateway befindet sich derzeit in der Vorschau.
• Es gelten Grenzwerte für die Anzahl der integrierten API-Quellen.
• APIs im Amazon API-Gateway werden einmal pro Stunde mit dem API Center synchronisiert. Es werden nur REST-APIs synchronisiert.
• API-Definitionen werden auch mit dem API Center synchronisiert, wenn Sie die Option auswählen, sie während der Integration einzuschließen. Es werden nur Definitionen aus bereitgestellten APIs synchronisiert.

Aus Amazon API-Gateway synchronisierte Entitäten

Sie können Metadaten und Dokumentationen zu den synchronisierten APIs im API Center hinzufügen oder aktualisieren, um Projektbeteiligten dabei zu helfen, die synchronisierten APIs zu finden, zu verstehen und zu nutzen. Hier erfahren Sie mehr über die integrierten und benutzerdefinierten Metadateneigenschaften von Azure API Center.

Die folgende Tabelle zeigt Entitätseigenschaften, die in Azure API Center geändert werden können, und Eigenschaften, die basierend auf ihren Werten in der API-Quelle festgelegt werden.

Entität	In API Center konfigurierbare Eigenschaften	In der integrierten API-Quelle ermittelte Eigenschaften
Programmierschnittstelle (API)	Zusammenfassung lifecycleStage Nutzungsbedingungen Lizenz externe Dokumentation customProperties	Titel Beschreibung Art
API-Version	lifecycleStage	Titel Definitionen (sofern synchronisiert)
Umgebung	Titel Beschreibung kind server.managementPortalUri Onboarding customProperties	Server-Typ
Bereitstellung	Titel Beschreibung Server Staat customProperties	server.runtimeUri

Hinweis

Ressourcen- und System-IDs für Entitäten, die mit Azure API Center synchronisiert werden, werden automatisch generiert und können nicht geändert werden.

Voraussetzungen

• Ein API-Center in Ihrem Azure-Abonnement. Wenn Sie noch keins erstellt haben, lesen Sie die Schnellstartanleitung: Erstellen Ihres API-Centers.

• Ein Azure-Schlüsseltresor. Wenn Sie eine erstellen müssen, finden Sie weitere Informationen unter Schnellstart: Erstellen einer Key Vault-Instanz über das Azure-Portal. Um geheime Schlüssel im Schlüsseltresor hinzuzufügen oder zu verwalten, ist mindestens die Rolle Key Vault-Geheimnisbeauftragter oder eine gleichwertige Berechtigung erforderlich.

• Ein Amazon API-Gateway.

• Eine AWS IAM-Benutzer-Identität mit der angefügten AmazonAPIGatewayAdministrator-Richtlinie.

• Für die Azure CLI:

  • Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter "Erste Schritte mit Azure Cloud Shell".

    

  • Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.

    • Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Weitere Anmeldeoptionen finden Sie unter Authentifizieren bei Azure mithilfe der Azure CLI.

    • Installieren Sie die Azure CLI-Erweiterung beim ersten Einsatz, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden und Verwalten von Erweiterungen mit der Azure CLI.

    • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.

  Hinweis

  Für az apic-Befehle wird die Azure CLI-Erweiterung apic-extension benötigt. Wenn Sie keine az apic-Befehle verwendet haben, kann die Erweiterung dynamisch installiert werden, wenn Sie den ersten az apic-Befehl ausführen. Sie können die Erweiterung auch manuell installieren. Hier finden Si weitere Informationen zu Azure CLI-Erweiterungen.

  In den Versionshinweisen finden Sie die neuesten Änderungen und Updates in der apic-extension. Für bestimmte Features ist möglicherweise eine Vorschauversion oder eine bestimmte Version der Erweiterung erforderlich.

  Hinweis

  Azure CLI-Befehlsbeispiele in diesem Artikel können in PowerShell oder einer Bash-Shell ausgeführt werden. Bei Bedarf aufgrund unterschiedlicher Variablensyntax werden separate Befehlsbeispiele für die beiden Shells bereitgestellt.

Erstellen von IAM-Benutzerzugriffsschlüsseln

Um das API Center beim Amazon API-Gateway zu authentifizieren, benötigen Sie Zugriffsschlüssel für einen AWS IAM-Benutzer.

Informationen zum Generieren der erforderlichen Zugriffsschlüssel-ID und des geheimen Schlüssels mithilfe der AWS-Verwaltungskonsole finden Sie unter Erstellen eines Zugriffsschlüssels für sich selbst in der AWS-Dokumentation.

Speichern Sie Ihre Zugriffsschlüssel an einem sicheren Ort. Sie speichern sie in den nächsten Schritten in Azure Key Vault.

Achtung

Zugriffsschlüssel sind langfristige Anmeldeinformationen, und Sie sollten sie so sicher wie ein Kennwort verwalten. Weitere Informationen zum Sichern von Zugriffsschlüsseln

Speichern von IAM-Benutzerzugriffsschlüsseln in Azure Key Vault

Laden Sie die beiden IAM-Benutzerzugriffsschlüssel in Azure Key Vault mithilfe der in der folgenden Tabelle empfohlenen Konfiguration hoch und sichern Sie sie. Weitere Informationen finden Sie unter Schnellstart: Festlegen eines Geheimnisses und Abrufen des Geheimnisses aus Azure Key Vault mithilfe des Azure-Portals.

AWS-Geheimnis	Uploadoptionen	Name	Geheimer Wert
Zugriffsschüssel	Manuell	aws-access-key	Zugriffsschlüssel-ID, die von AWS abgerufen wurde
Geheimer Zugriffsschlüssel	Manuell	aws-secret-access-key	Geheimer Zugriffsschlüssel, der von AWS abgerufen wurde

Notieren Sie sich die Geheimnis-ID jedes geheimen Schlüssels, einen URI, der https://<key-vault-name>.vault.azure.net/secrets/<secret-name> ähnelt. Sie werden diese IDs im nächsten Schritt verwenden.

Aktivieren einer verwalteten Identität in Ihrem API-Center

In diesem Szenario verwendet Ihr API-Center eine verwaltete Identität für den Zugriff auf Azure-Ressourcen. Aktivieren Sie je nach Ihren Anforderungen entweder eine systemseitig oder ein oder mehrere benutzerseitig zugewiesene verwaltete Identitäten.

Die folgenden Beispiele zeigen, wie Sie eine systemseitig zugewiesene verwaltete Identität mithilfe des Azure-Portals oder der Azure CLI aktivieren. Im Großen und Ganzen sind die Konfigurationsschritte für eine benutzerseitig zugewiesene verwaltete Identität ähnlich.

Portal

1. Navigieren Sie im Portal zu Ihrem API-Center.
2. Wählen Sie im linken Menü unter Sicherheit die Option Verwaltete Identitäten aus.
3. Wählen Sie Systemseitig zugewiesen aus, und legen Sie den Status auf Ein fest.
4. Wählen Sie Speichern.

Azure-Befehlszeilenschnittstelle

Legen Sie die systemseitig zugewiesene Identität im API-Center mithilfe des folgenden az apic update-Befehls fest. Setzen Sie die Namen Ihres API-Centers und Ihrer Ressourcengruppe ein:

az apic update --name <api-center-name> --resource-group <resource-group-name> --identity '{"type": "SystemAssigned"}'

Zuweisen der verwalteten Identität zur Rolle „Key Vault-Geheimnisbenutzer”

Um den Import von APIs zuzulassen, weisen Sie die verwaltete Identität Ihres API Centers der Rolle Key Vault-Geheimnisbenutzer in Ihrem Azure Key Vault zu. Sie können das Portal oder die Azure CLI verwenden.

Portal

1. Navigieren Sie im Portal zu Ihrem Schlüsseltresor.
2. Wählen Sie im linken Menü Zugriffssteuerung (IAM) aus.
3. Wählen Sie + Rollenzuweisung hinzufügen aus.
4. Legen Sie auf der Seite Rollenzuweisung hinzufügen die Werte wie folgt fest:
   1. Wählen Sie auf der Registerkarte Rolle die Option Key Vault-Geheimnisbenutzer aus.
   2. Auf der Seite Mitglieder unter Zugriff zuweisen: Wählen Sie Verwaltete Identität>+ Mitglieder auswählen aus.
   3. Wählen Sie auf der Seite Verwaltete Identitäten auswählen die systemseitig zugewiesene verwaltete Identität Ihres API-Centers aus, die Sie im vorherigen Abschnitt hinzugefügt haben. Klicken Sie auf Auswählen.
   4. Wählen Sie Überprüfen und zuweisen aus.

Azure-Befehlszeilenschnittstelle

1. Rufen Sie die Prinzipal-ID der Identität ab. Verwenden Sie für eine systemseitig zugewiesene Identität den Befehl az apic show.

   #! /bin/bash
   apicObjID=$(az apic show --name <api-center-name> \
       --resource-group <resource-group-name> \
       --query "identity.principalId" --output tsv)
   

   # Formatted for PowerShell
   $apicObjID=$(az apic show --name <api-center-name> `
       --resource-group <resource-group-name> `
       --query "identity.principalId" --output tsv)
   

2. Rufen Sie die Ressourcen-ID Ihres Schlüsseltresors ab, indem Sie den Befehl az keyvault show verwenden.

   #! /bin/bash
   kvID=$(az keyvault show --name <kv-name> --resource-group <resource-group-name> --query "id" --output tsv)
   

   # Formatted for PowerShell
   $kvID=$(az keyvault show --name <kv-name> --resource-group <resource-group-name> --query "id" --output tsv)
   

3. Weisen Sie der verwalteten Identität die Rolle Key Vault-Geheimnisbenutzer in Ihrem Schlüsseltresor mit dem Befehl az role assignment create zu.

   #! /bin/bash
   scope="${kvID:1}"
   
   az role assignment create \
       --role "Key Vault Secrets User" \
       --assignee-object-id $apicObjID \
       --assignee-principal-type ServicePrincipal \
       --scope $scope 
   

   # Formatted for PowerShell
   $scope=$apimID.substring(1)
   
   az role assignment create `
       --role "Key Vault Secrets User" `
       --assignee-object-id $apicObjID `
       --assignee-principal-type ServicePrincipal `
       --scope $scope 
   

Integrieren eines Amazon API-Gateways

Sie können ein Amazon API-Gateway mithilfe des Portals oder der Azure CLI integrieren.

Portal

1. Navigieren Sie im Portal zu Ihrem API-Center.
2. Wählen Sie unter "Plattformen" die Option "Integrationen" aus.
3. Wählen Sie + Neue Integration>Von Amazon API Gateway aus.
4. Auf der Seite "Integration Ihres Amazon API Gateway Service" verfahren Sie wie folgt:
   1. Klicken Sie für den AWS-Zugriffsschlüssel und den geheimen AWS-Zugriffsschlüssel auf "Auswählen ", und wählen Sie das Abonnement, den Schlüsseltresor, den Geheimen Schlüssel aus, den Sie gespeichert haben.
   2. Wählen Sie die AWS-Region aus, in der das Amazon API-Gateway bereitgestellt wird.
   3. Geben Sie in den Integrationsdetails einen Bezeichner ein.
   4. Geben Sie unter Umgebungsdetails einen Umgebungstitel (Name), einen Umgebungstyp und optional eine Beschreibung ein.
   5. Unter API-Details:
      1. Wählen Sie eine Lebenszyklusphase für die synchronisierten APIs aus. (Sie können diesen Wert für die APIs aktualisieren, nachdem sie zu API Center hinzugefügt wurden.)
      2. Wählen Sie optional aus, ob API-Definitionen in die synchronisierten APIs eingeschlossen werden sollen.
5. Wählen Sie "Erstellen" aus.

Azure-Befehlszeilenschnittstelle

Führen Sie den Befehl az apic integration create aws (Vorschau) aus, um ein Amzon API-Gateway in das API Center zu integrieren.

• Geben Sie die Namen der Ressourcengruppe, des API Centers und der Integration an.

• Stellen Sie die Geheimnis-IDs des Key Vault für den AWS-Zugriffsschlüssel und geheimen Zugriffsschlüssel sowie die AWS-Region bereit, in der das Amazon API-Gateway bereitgestellt wird.

az apic integration create aws \
    --resource-group <resource-group-name> \
    --service-name-name <api-center-name> \
    --integration-name <aws-integration-name> \
    --aws-access-key-reference <access-key-uri> \
    --aws-secret-access-key-reference <secret-access-key-uri> 
    --aws-region-name <aws-region>

Die Umgebung wird in API Center hinzugefügt. Die Amazon API-Gateway-APIs werden in den API Center-Bestand importiert.

Löschen einer Integration

Während eine API Management-Instanz verknüpft ist, können Sie synchronisierte APIs nicht aus dem API Center löschen. Bei Bedarf können Sie die Integration löschen. Wenn Sie eine Integration löschen:

• werden die synchronisierten APIs in Ihrem API Center-Bestand gelöscht.
• werden die Umgebung und Bereitstellungen, die der API-Quelle zugeordnet sind, gelöscht.

Sie können eine Integration über das Portal oder die Azure CLI löschen.

Portal

1. Navigieren Sie im Portal zu Ihrem API-Center.
2. Wählen Sie unter AssetsUmgebungen>Integrationen (Vorschau) aus.
3. Wählen Sie die Integration und dann Löschen (Papierkorbsymbol) aus.

Azure-Befehlszeilenschnittstelle

Führen Sie den Befehl az apic integration delete (Vorschau) aus, um eine Integration zu löschen. Geben Sie die Namen der Ressourcengruppe, des API Centers und der Integration an.

az apic integration delete \
    --resource-group <resource-group-name> \
    --service-name <api-center-name> \
    --integration-name <integration-name> \

Zugehöriger Inhalt

• Verwalten des API-Inventars mit Azure CLI-Befehlen
• Synchronisieren von APIs aus API Management in Azure API Center