Erstellen und Verwalten eines Arbeitsbereichs in Azure API Management

GILT FÜR: Premium

Richten Sie einen Arbeitsbereich ein, um einem API-Team die Verwaltung und Produktisierung eigener APIs zu ermöglichen, während das API-Plattformteam die Tools zum Beobachten, Steuern und Verwalten der API-Verwaltungsplattform bereitstellt. Nachdem Sie einen Arbeitsbereich erstellt und Berechtigungen zugewiesen haben, können Arbeitsbereichsmitarbeiter eigene APIs, Produkte, Abonnements und zugehörige Ressourcen erstellen und verwalten.

Hinweis

• Die aktuellen Arbeitsbereichsfunktionen werden in der API Management-REST-API-Version 2023-09-01-preview oder höher unterstützt.
• Überlegungen zur Preisgestaltung finden Sie unter API-Verwaltungspreise.

Führen Sie die Schritte in diesem Artikel für folgende Aktionen aus:

• Erstellen eines API-Management-Arbeitsbereichs und Zuordnen eines Arbeitsbereichs-Gateways mithilfe des Azure-Portals
• Optionales Isolieren des Arbeitsbereichs-Gateways in einem virtuellen Azure-Netzwerk
• Zuweisen von Berechtigungen zum Arbeitsbereich

Hinweis

• Derzeit ist das Erstellen eines Arbeitsbereichs-Gateways ein zeitintensiver Vorgang, der bis zu 3 Stunden oder länger dauern kann.
• Das Zuordnen mehrerer Arbeitsbereiche zu einem Arbeitsbereichsgateway ist nur für Arbeitsbereichsgateways verfügbar, die nach dem 15. April 2025 erstellt wurden. Erfahren Sie mehr über gemeinsam genutzte Arbeitsbereichs-Gateways.

Voraussetzungen

• Eine API Management-Instanz. Erstellen Sie bei Bedarf eine in einer unterstützten Ebene.
• Rolle "Besitzer " oder "Mitwirkender" in der Ressourcengruppe, in der die API-Verwaltungsinstanz bereitgestellt wird, oder gleichwertige Berechtigungen zum Erstellen von Ressourcen in der Ressourcengruppe.
• (Optional) Ein Subnetz in einem neuen oder vorhandenen virtuellen Azure-Netzwerk, um den eingehenden und ausgehenden Datenverkehr des Gateways des Arbeitsbereichs zu isolieren. Informationen zu Konfigurationsoptionen und -anforderungen finden Sie unter Netzwerkressourcenanforderungen für Arbeitsbereichsgateways.

Einen Arbeitsbereich erstellen – Portal

1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zu Ihrer API-Verwaltungsinstanz.

2. Wählen Sie im linken Menü unter APIs " Arbeitsbereiche>+ Hinzufügen" aus.

3. Geben Sie auf der Registerkarte "Grundlagen " einen beschreibenden Anzeigenamen, ressourcennamen und optionalen Beschreibung für den Arbeitsbereich ein. Wählen Sie "Weiter" aus.

4. Konfigurieren Sie auf der Registerkarte "Gateway " Einstellungen für das Arbeitsbereichsgateway.

   

   • Wählen Sie "Neu erstellen" aus, um ein neues Arbeitsbereichsgateway zu erstellen, oder wählen Sie "Vorhandenen Verwenden" aus, um den Arbeitsbereich einem vorhandenen Gateway zuzuordnen, das andere Arbeitsbereiche enthält, die darauf bereitgestellt wurden.

   • Wenn Sie ein neues Gateway erstellen möchten:

     • Geben Sie unter Gatewaydetails einen neuen Gatewaynamen ein, und wählen Sie die Anzahl der Skalierungseinheiten aus. Die Gatewaykosten basieren auf der Anzahl der Einheiten. Weitere Informationen finden Sie unter API-Verwaltungspreise.

     • Wählen Sie im Netzwerk eine Netzwerkkonfiguration für Ihr Arbeitsbereichsgateway aus.

       Wichtig

       Planen Sie die Netzwerkkonfiguration Ihres Arbeitsbereichs sorgfältig. Sie können die Netzwerkkonfiguration nach dem Erstellen des Arbeitsbereichs nicht mehr ändern.

     • Wenn Sie entweder eingehenden öffentlichen Zugriff, ausgehenden privaten Zugriff (Integration des virtuellen Netzwerks) oder eingehenden privaten Zugriff, ausgehenden privaten Zugriff (Einfügung virtueller Netzwerke) auswählen, wählen Sie ein virtuelles Netzwerk und ein Subnetz aus, um das Arbeitsbereichsgateway zu isolieren oder ein neues zu erstellen. Informationen zu Netzwerkanforderungen finden Sie unter Netzwerkressourcenanforderungen für Arbeitsbereichsgateways.

5. Wählen Sie "Weiter" aus. Nachdem die Überprüfung abgeschlossen ist, wählen Sie "Erstellen" aus.

   Hinweis

   Das Erstellen eines neuen Arbeitsbereichsgateways kann, wenn dies ausgewählt wird, bis zu mehreren Stunden dauern. Um den Bereitstellungsstatus im Azure-Portal nachzuverfolgen, wechseln Sie zur Ressourcengruppe des Gateways. Wählen Sie im linken Menü unter Einstellungen, Bereitstellungen aus.

Nach Abschluss der Bereitstellung wird der neue Arbeitsbereich in der Liste auf der Seite "Arbeitsbereiche " angezeigt. Wählen Sie den Arbeitsbereich aus, um seine Einstellungen und Ressourcen zu verwalten.

Hinweis

• Um den Hostnamen der Gatewayruntime und andere Gatewaydetails anzuzeigen, wählen Sie den Arbeitsbereich im Portal aus. Wählen Sie unter Bereitstellung + InfrastrukturGateways aus, und wählen Sie den Namen des Gateways des Arbeitsbereichs aus.
• Während das Arbeitsbereichs-Gateway erstellt wird, sind Runtimeaufrufe der APIs des Arbeitsbereichs nicht erfolgreich.

Benutzer zum Arbeitsbereich zuweisen – Portal

Nachdem Sie einen Arbeitsbereich erstellt haben, weisen Sie Benutzern Berechtigungen zum Verwalten der Ressourcen des Arbeitsbereichs zu. Jedem Arbeitsbereichsbenutzer muss sowohl eine dienstbezogene Arbeitsbereichs-RBAC-Rolle als auch eine arbeitsbereichsbezogene RBAC-Rolle zugewiesen werden, oder ihm müssen gleichwertige Berechtigungen mithilfe benutzerdefinierter Rollen erteilt werden.

Um das Arbeitsbereichs-Gateway zu verwalten, wird empfohlen, Arbeitsbereichsbenutzern zudem eine von Azure bereitgestellte RBAC-Rolle zuzuweisen, die auf das Arbeitsbereichs-Gateway ausgerichtet ist.

Hinweis

Richten Sie zur einfacheren Verwaltung Microsoft Entra ID-Gruppen ein, um Arbeitsbereichsberechtigungen für mehrere Benutzer zuzuweisen.

• Eine Liste der integrierten Arbeitsbereichsrollen finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung in der API-Verwaltung.
• Schritte zum Zuweisen einer Rolle finden Sie unter Zuweisen von Azure-Rollen mithilfe des Portals.

Dienstrolle zuweisen

1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zu Ihrer API-Verwaltungsinstanz.

2. Wählen Sie im linken Menü die Option Access Control (IAM)>+ Hinzufügen aus.

3. Weisen Sie jedem Mitglied des Arbeitsbereichs eine der folgenden dienstbezogene Rollen zu:

   • API-Entwickler des API-Verwaltungsdienst-Arbeitsbereichs
   • API Management Service Workspace API Product Manager

Arbeitsbereichsbezogene Rolle zuweisen

1. Wählen Sie im Menü für Ihre API-Verwaltungsinstanz unter APIs den Namen des von Ihnen erstellten Arbeitsbereichs> aus.

2. Wählen Sie im Arbeitsbereichsfensterdie Option Access Control (IAM)>+ Hinzufügen aus.

3. Weisen Sie den Arbeitsbereichsmitgliedern eine der folgenden arbeitsbereichsbezogenen Rollen zu, damit sie Arbeitsbereichs-APIs und andere Ressourcen verwalten können.

   • API Management Workspace Reader
   • Mitwirkender am API-Verwaltungsarbeitsbereich
   • Arbeitsbereichs-API-Entwickler für API Management
   • API Management Workspace API Product Manager

Zuweisen einer gatewaybezogenen Rolle

1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zu Ihrer API-Verwaltungsinstanz.

2. Wählen Sie im linken Menü unter APIs "Arbeitsbereiche" den Namen Ihres Arbeitsbereichs > aus.

3. Wählen Sie im linken Menü des Arbeitsbereichs Gateways und dann das Arbeitsbereichsgateway aus.

4. Wählen Sie im linken Menü die Option Access Control (IAM)>+ Hinzufügen aus.

5. Weisen Sie den einzelnen Mitgliedern des Arbeitsbereichs eine der folgenden Rollen zu. Es wird mindestens empfohlen, die Rolle Leser zuzuweisen, um die Einstellungen des Gateways anzuzeigen. Besitzer und Mitwirkende können die Einstellungen des Gateways verwalten, einschließlich der Skalierung des Gateways.

   • Eigentümer
   • Mitarbeiter
   • Leser

Aktivieren von Diagnoseeinstellungen für die Überwachung von Arbeitsbereich-APIs

Konfigurieren Sie Einstellungen zum Sammeln von Azure Monitor-Protokollen für den Arbeitsbereich und senden Sie sie an einen Log Analytics-Arbeitsbereich, damit das Arbeitsbereichsteam ihre eigenen APIs überwachen kann, während das API-Plattformteam auf zentralisierte Protokolle für die API-Verwaltungsinstanz zugreifen kann. Sehen Sie sich die folgende Abbildung an:

Um Azure Monitor Logs für den Arbeitsbereich zu sammeln, werden Diagnoseeinstellungen sowohl auf Dienst- als auch auf Arbeitsbereichsebene benötigt:

1. Aktivieren Sie zunächst eine Diagnoseeinstellung auf Dienstebene für die Sammlung von API-Verwaltungsgatewayprotokollen, wenn eine Einstellung noch nicht aktiviert ist. Es wird empfohlen, Protokolle an einen Log Analytics-Arbeitsbereich zu senden. Weitere Informationen finden Sie unter Konfigurieren von Diagnoseeinstellungen für die API-Verwaltung.

2. Aktivieren Sie dann eine Diagnoseeinstellung auf Arbeitsbereichsebene , um API-Verwaltungsgatewayprotokolle an denselben Log Analytics-Arbeitsbereich zu senden. Diese Einstellung sammelt Protokolle für alle Arbeitsbereichsgateways, die dem Arbeitsbereich zugeordnet sind.

   Wichtig

   Eine Diagnoseeinstellung auf Dienstebene konfiguriert die Protokollierung über die gesamte API-Verwaltungsinstanz, einschließlich derjenigen Arbeitsbereiche, die eine auf Arbeitsbereichsebene konfigurierte Diagnoseeinstellung haben. Wenn Sie keine Diagnoseeinstellung auf Arbeitsbereichsebene aktivieren, werden die Gatewayprotokolle des Arbeitsbereichs nicht erfasst oder in Log Analytics aggregiert.

   Hinweis

   Standardmäßig haben Mitglieder des Arbeitsbereichsteams, denen die integrierten Arbeitsbereich-RBAC-Rollen zugewiesen wurden, keine Berechtigungen zum Bearbeiten von Diagnoseeinstellungen in einem Arbeitsbereich. Das API-Plattformteam verfügt über diese Berechtigungen.

So konfigurieren Sie eine Arbeitsbereichsdiagnoseeinstellung für die Sammlung von Gatewayprotokollen auf Arbeitsbereichsebene:

1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zu Ihrer API-Verwaltungsinstanz.

2. Wählen Sie im linken Menü unter APIs "Arbeitsbereiche" den Namen Ihres Arbeitsbereichs > aus.

3. Wählen Sie im linken Menü der Arbeitsbereiche unter "Überwachung" die Option "Diagnoseeinstellungen>+ Diagnoseeinstellung hinzufügen" aus.

4. Geben Sie auf der Seite Diagnoseeinstellung Details zur Einstellung ein, oder wählen Sie sie aus:

   1. Name der Diagnoseeinstellung: Geben Sie einen beschreibenden Namen ein.
   2. Kategoriegruppen: Treffen Sie optional eine Auswahl für Ihr Szenario.
   3. Unter Kategorien: Wählen Sie Protokolle im Zusammenhang mit dem ApiManagement-Gateway aus, um Gatewayprotokolle für APIs in diesem Arbeitsbereich zu sammeln.
   4. Wählen Sie unter "Zieldetails" aus, dass Protokolle an denselben Azure Log Analytics-Arbeitsbereich gesendet werden sollen, der in der Diagnoseeinstellung auf Dienstebene und in anderen Diagnoseeinstellungen auf Arbeitsbereichsebene angegeben ist.
   5. Wählen Sie Speichern aus.

Hinweis

• Derzeit können nur Gatewayprotokolle für Arbeitsbereiche erfasst werden.
• Greifen Sie auf Protokolle auf Arbeitsbereichsebene zu,indem Sie im linken Menü des Arbeitsbereichs zu> navigieren.

Erste Schritte mit Ihrem Arbeitsbereich

Abhängig von Ihrer Rolle im Arbeitsbereich verfügen Benutzer möglicherweise über Berechtigungen zum Erstellen von APIs, Produkten, Abonnements und anderen Ressourcen, oder sie haben schreibgeschützten Zugriff auf einige oder alle Optionen.

Informationen zu den ersten Schritten beim Verwalten, Schützen und Veröffentlichen von APIs in einem Arbeitsbereich finden Sie in der folgenden Anleitung.

Ressource	Handbuch
Apis	Lernprogramm: Importieren und Veröffentlichen Ihrer ersten API
Produkte	Lernprogramm: Erstellen und Veröffentlichen eines Produkts
Abonnements	Abonnements in Azure API Management Erstellen von Abonnements in der API-Verwaltung
Richtlinien	Lernprogramm: Transformieren und Schützen Ihrer API Richtlinien in Azure API Management Festlegen oder Bearbeiten von API-Verwaltungsrichtlinien
Benannte Werte	Geheimnisse mit benannten Werten verwalten
Back-Ends	Verwenden von Back-Ends in Azure API Management
Richtlinienfragmente	Richtlinienkonfigurationen in Ihren API-Management-Richtliniendefinitionen wiederverwenden
Schemata	Überprüfen von Inhalten
Gruppen	Erstellen und Verwenden von Gruppen zum Verwalten von Entwicklerkonten
Benachrichtigungen	Konfigurieren von Benachrichtigungen und Benachrichtigungsvorlagen

Zugehöriger Inhalt

• Erfahren Sie mehr über Arbeitsbereiche in azure API Management.
• Verwenden eines virtuellen Netzwerks zum Sichern von eingehendem oder ausgehendem Datenverkehr für Azure API Management