Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
APLICA-SE A: Basic v2 | Standard v2 | Premium | Premium v2
Este artigo fornece uma visão geral dos espaços de trabalho de Gerenciamento de API e como eles capacitam as equipes de desenvolvimento de API descentralizadas para gerenciar e produzir suas APIs em uma infraestrutura de serviço comum.
Por que as organizações devem federar o gerenciamento de API?
Hoje, as organizações enfrentam cada vez mais desafios no gerenciamento de uma proliferação de APIs. À medida que o número de APIs e equipes de desenvolvimento de API cresce, cresce também a complexidade de gerenciá-las. Essa complexidade pode levar ao aumento da sobrecarga operacional, aos riscos de segurança e à redução da agilidade. Por um lado, as organizações querem estabelecer uma infraestrutura de API centralizada para garantir a governança, a segurança e a conformidade da API. Por outro lado, eles querem que suas equipes de API inovem e respondam rapidamente às necessidades de negócios, sem a sobrecarga de gerenciar uma plataforma de API.
Um modelo federado de gerenciamento de API atende a essas necessidades. O gerenciamento de API federada permite o gerenciamento descentralizado de API por equipes de desenvolvimento com isolamento apropriado de planos de controle e dados, mantendo a governança, o monitoramento e a descoberta de API centralizados gerenciados por uma equipe de plataforma de API. Esse modelo supera as limitações de abordagens alternativas, como o gerenciamento de API totalmente centralizado pela equipe da plataforma ou o gerenciamento de API em silos por cada equipe de desenvolvimento.
O gerenciamento de API federada fornece:
- Governança e observabilidade centralizadas de API
- Um portal unificado do desenvolvedor para descoberta e integração de API eficazes
- Permissões administrativas segregadas entre equipes de API, aumentando a produtividade e a segurança
- Tempo de execução de API segregado entre equipes de API, melhorando a confiabilidade, resiliência e segurança
Como os espaços de trabalho permitem o gerenciamento de API federada
No Gerenciamento de API do Azure, use espaços de trabalho para implementar o gerenciamento de API federada. Os espaços de trabalho funcionam como "pastas" dentro de um serviço de Gerenciamento de API:
- Cada espaço de trabalho contém APIs, produtos, assinaturas, valores nomeados e recursos relacionados. Consulte a referência da API REST de Gerenciamento de API para obter a lista completa dos recursos e operações disponibilizados nos espaços de trabalho.
- O acesso das equipes aos recursos em um espaço de trabalho é gerenciado por meio do RBAC (controle de acesso baseado em função) do Azure, com funções internas ou personalizadas atribuíveis a contas do Microsoft Entra e com escopo para um espaço de trabalho.
- Cada espaço de trabalho está associado a um ou mais gateways para encaminhar o tráfego de API para os serviços de backend das APIs no espaço de trabalho. Dependendo do nível de serviço e dos seus requisitos, um espaço de trabalho pode utilizar o gateway gerido predefinido do serviço ou um ou mais gateways do espaço de trabalho.
- A equipe da plataforma pode aplicar políticas que abrangem APIs e produtos em espaços de trabalho para controlar o tempo de execução da API em toda a organização. Uma definição interna de Política do Azure (
API Management policies should inherit parent scope policies using <base/>) permite auditar ou impor que essas políticas sejam aplicadas em todos os recursos do espaço de trabalho. - A equipe da plataforma pode implementar uma experiência de descoberta de API centralizada com um portal do desenvolvedor.
- Cada equipa de área de trabalho pode reunir e analisar logs de recursos de gateway para monitorizar as suas próprias APIs de área de trabalho, enquanto a equipa de plataforma tem acesso federativo a logs em todas as áreas de trabalho no serviço de Gestão de API, proporcionando supervisão, segurança e conformidade em todo o ecossistema de API.
Note
- New! A funcionalidade workspaces está agora disponível nos níveis Basic v2 e Standard v2, além dos níveis Premium e Premium v2. Os espaços de trabalho nos níveis v2 podem ser associados ou ao gateway gerido predefinido do API Management ou a um recurso de gateway do espaço de trabalho separado, proporcionando flexibilidade na forma como configura e dimensiona os seus espaços de trabalho.
- Para obter considerações sobre preços, consulte Preços de gerenciamento de API.
Embora os espaços de trabalho sejam gerenciados independentemente do serviço de Gerenciamento de API e de outros espaços de trabalho, por design, eles podem fazer referência a recursos de nível de serviço selecionados. Consulte Espaços de trabalho e outros recursos de gerenciamento de API, mais adiante neste artigo.
Descrição geral de cenário de exemplo
Uma organização que gere APIs utilizando o API Management do Azure pode ter várias equipas de desenvolvimento que desenvolvem, definem, mantêm e comercializam diferentes conjuntos de APIs. Ao utilizar espaços de trabalho, estas equipas podem usar a Gestão de APIs para gerir, aceder e proteger as suas APIs separadamente e independentemente da gestão da infraestrutura de serviço.
O fluxo de trabalho seguinte mostra um processo de exemplo para criar e utilizar um espaço de trabalho.
Uma equipa central da plataforma API que gere a instância de Gestão de APIs cria um espaço de trabalho e atribui permissões aos colaboradores do espaço de trabalho através dos papéis RBAC. Por exemplo, atribuir permissões para criar ou ler recursos no espaço de trabalho. A equipa cria ou associa um gateway de API à área de trabalho para encaminhar o tráfego da API.
Uma equipe central de plataforma de API usa ferramentas de DevOps para criar um pipeline de DevOps para APIs nesse espaço de trabalho.
Os membros do espaço de trabalho desenvolvem, publicam, produzem e mantêm APIs no espaço de trabalho.
A equipe central da plataforma de API gerencia a infraestrutura do serviço, como monitoramento, resiliência e aplicação de todas as políticas de APIs.
Portal de espaço de trabalho
Cada espaço de trabalho é configurado com um ou mais gateways para permitir a execução das APIs geridas neste espaço de trabalho. Dependendo do escalão de serviço e dos seus requisitos, pode utilizar o gateway gerido predefinido do serviço e/ou um ou mais gateways de espaço de trabalho (recursos de gateway separados).
| Option | Availability | Benefícios | Considerations |
|---|---|---|---|
| Gateway gerido por defeito | Neste momento nos escalões v2 | Sem custo adicional para o recurso de gateway; disponibilidade em todas as regiões onde o escalão está disponível; os espaços de trabalho podem tirar partido das funcionalidades de gateway incorporadas que não estão disponíveis nos gateways do espaço de trabalho, como implementações em várias regiões, nomes de anfitrião personalizados ou conectividade através de ligação privada, se tal for suportado no escalão de serviço | Menos isolamento; Todos os espaços de trabalho partilham a capacidade e configuração do gateway |
| Portal de espaço de trabalho | Básico v2, Padrão v2, Premium, Premium v2 | Isolamento forte em tempo de execução; dimensionamento, nome de anfitrião e configuração de rede independentes por gateway de área de trabalho | Custo extra; tempo de implantação mais longo; Apoio em menos regiões |
Gateway gerido por defeito
Nos escalões v2, pode configurar um espaço de trabalho para encaminhar o tráfego da API através do gateway gerido predefinido do serviço, além de um ou mais recursos de gateway do espaço de trabalho separados. Quando um espaço de trabalho utiliza o gateway gerido por defeito:
- O tráfego API passa pelo nome de host padrão do serviço (por exemplo,
<service-name>.azure-api.net). - O espaço de trabalho partilha a capacidade e configuração do gateway com outros espaços de trabalho e APIs de nível de serviço.
Note
Atualmente, só pode associar um espaço de trabalho ao gateway gerido predefinido nos níveis de serviço v2 e através da API REST API Management Workspace - Criar ou Atualizar.
Portal de espaço de trabalho
Um gateway de espaço de trabalho é um recurso autónomo do Azure (gateway premium de espaço de trabalho) com a mesma funcionalidade principal do gateway gerido predefinido.
Pode gerir os gateways do espaço de trabalho de forma independente do serviço de Gestão de APIs e entre si. Permitem o isolamento do tempo de execução entre espaços de trabalho ou casos de uso, o que aumenta a fiabilidade, resiliência e segurança da API. Também permitem associar problemas em tempo de execução aos espaços de trabalho.
- Para obter informações sobre o custo dos gateways de espaço de trabalho, consulte Preços de Gestão de API.
- Para obter uma comparação detalhada dos gateways de gerenciamento de API, consulte Visão geral dos gateways de gerenciamento de API.
Associar espaços de trabalho a um gateway
Dependendo das necessidades da sua organização, você pode associar um ou vários espaços de trabalho a um gateway de espaço de trabalho.
Note
A associação de vários espaços de trabalho a um gateway de espaço de trabalho está disponível apenas para gateways de espaço de trabalho criados após 15 de abril de 2025.
- Um gateway do espaço de trabalho tem determinadas definições de configuração, como rede virtual, dimensionamento e nome de anfitrião, bem como recursos de computação alocados, incluindo recursos de CPU, memória e rede.
- Todos os espaços de trabalho implementados num gateway partilham os recursos de configuração e computação.
- Bugs numa API ou tráfego anómalo podem causar o esgotamento destes recursos, o que afeta todos os espaços de trabalho nesse gateway. Ou seja, quanto mais espaços de trabalho implementares num gateway, maior é o risco de uma API de um espaço de trabalho enfrentar problemas de fiabilidade causados por uma API de outro espaço de trabalho.
- Monitorize o desempenho do seu gateway de espaço de trabalho usando métricas integradas para a utilização da CPU e memória.
Considere a confiabilidade, a segurança e o custo ao escolher um modelo de implantação para espaços de trabalho.
- Atribuir um espaço de trabalho ao seu próprio gateway dedicado para cargas de trabalho críticas - Para maximizar a fiabilidade e segurança da API, atribuir cada espaço crítico ao seu próprio gateway, evitando o uso partilhado com outros espaços de trabalho.
- Equilibre a fiabilidade, a segurança e o custo - Associe várias áreas de trabalho a um gateway da área de trabalho (ou, se aplicável, ao gateway gerido por predefinição) para equilibrar a fiabilidade, a segurança e o custo das cargas de trabalho não críticas. Distribua os espaços de trabalho por pelo menos dois gateways para ajudar a prevenir problemas, como esgotamento de recursos ou erros de configuração, que afetem todas as APIs dentro da organização.
- Utilize gateways distintos para diferentes casos de uso - Agrupe áreas de trabalho num gateway de área de trabalho com base no caso de uso ou nos requisitos de rede. Por exemplo, pode distinguir entre APIs internas e externas atribuindo-as a gateways separados, cada um com a sua própria configuração de rede.
- Prepare-se para colocar em quarentena espaços de trabalho problemáticos - Use um proxy, como Gateway de Aplicação do Azure ou Azure Front Door, em frente a gateways de espaço partilhado para simplificar a mudança de um espaço que está a causar esgotamento de recursos para outro gateway. Esta abordagem evita impacto noutros espaços de trabalho que partilham o gateway.
Note
- Um gateway de workspace tem de estar na mesma região primária do Azure que a instância do API Management e na mesma subscrição.
- Todos os espaços de trabalho associados a um gateway de espaço de trabalho devem estar na mesma instância de Gestão de APIs.
- Pode associar até 30 espaços de trabalho a um gateway de área de trabalho. Contacta o suporte para aumentar esse limite.
Nome de host do gateway do espaço de trabalho
Cada gateway de espaço de trabalho fornece um nome de host exclusivo para APIs gerenciadas em um espaço de trabalho associado. Os nomes de host padrão seguem o padrão <gateway-name>-<hash>.gateway.<region>.azure-api.net. Use o nome do host do gateway para rotear solicitações de API para as APIs do seu espaço de trabalho.
Atualmente, gateways de workspace não suportam nomes de host personalizados. Você pode configurar o Gateway de Aplicação do Azure ou o Azure Front Door com um nome de host personalizado para um gateway do espaço de trabalho.
Isolamento de rede para gateways de espaço de trabalho
Pode, opcionalmente, configurar um recurso de gateway de espaço de trabalho numa rede virtual privada para isolar o tráfego de entrada e de saída. Se configurar este isolamento, o gateway do espaço de trabalho deve usar uma sub-rede dedicada na rede virtual.
Para obter requisitos detalhados, consulte Requisitos de recursos de rede para gateways de espaço de trabalho.
Note
- A configuração de rede de um gateway de espaço de trabalho é independente da configuração de rede da instância de Gerenciamento de API.
- Atualmente, um gateway de espaço de trabalho só pode ser configurado em uma rede virtual quando o gateway é criado. Não é possível alterar a configuração de rede ou as definições do gateway posteriormente.
Escalabilidade dos gateways da área de trabalho
Gere a capacidade de um gateway de espaço de trabalho adicionando ou removendo unidades de escala, semelhante às unidades que podes adicionar à instância de Gestão de API em certos níveis de serviço. Os custos de um gateway de espaço de trabalho são calculados com base no número de unidades que selecionar.
Disponibilidade regional de gateways do espaço de trabalho
Para obter uma lista atual de regiões onde gateways de espaço de trabalho estão disponíveis, consulte Disponibilidade de camadas v2 e de gateways de espaço de trabalho.
Restrições do espaço de trabalho e do gateway do espaço de trabalho
Restrições dos espaços de trabalho
- Um espaço de trabalho não pode ser associado a um gateway auto-hospedado
- As APIs em espaços de trabalho não são cobertas pelo Defender for APIs
- Os espaços de trabalho não suportam o gestor de credenciais
- Os espaços de trabalho suportam apenas cache interno; Cache externa não é suportada
- Os espaços de trabalho não suportam APIs sintéticas GraphQL
- Os espaços de trabalho não suportam criar APIs diretamente a partir de recursos do Azure, como Azure OpenAI Service, App Service, Function Apps, etc., no portal do Azure
- Os espaços de trabalho não suportam servidores MCP
- As métricas de solicitação não podem ser divididas por espaço de trabalho no Azure Monitor; Todas as métricas do espaço de trabalho são agregadas no nível de serviço
- Os espaços de trabalho não suportam certificados CA
- Os espaços de trabalho não suportam identidades geridas, incluindo funcionalidades relacionadas como armazenar segredos em Azure Key Vault e usar a política
authentication-managed-identity
Restrições do gateway da área de trabalho
As seguintes restrições aplicam-se ao recurso de gateway de espaço de trabalho gerido. Não se aplicam ao utilizar espaços de trabalho no gateway gerido predefinido do serviço.
- Os gateways de espaço de trabalho não suportam pontos de extremidade de entrada privados
- Gateways de espaço de trabalho não suportam nomes de host personalizados
- Os espaços de trabalho só podem ser associados a gateways de espaço de trabalho localizados na mesma região e na mesma subscrição que o recurso da Gestão de API
Herança global de políticas em gateways de ambiente de trabalho
Os gateways de espaço de trabalho executam toda a cadeia de políticas, incluindo a política global ao nível do serviço (global.policy.xml). Este comportamento significa que quaisquer políticas definidas no âmbito global são avaliadas e executadas para chamadas API processadas por gateways de workspace, tal como acontece com o gateway padrão. Este comportamento é intencional e está em conformidade com o modelo de avaliação de políticas da Gestão de API, em que as políticas são aplicadas hierarquicamente nos seguintes âmbitos: global (serviço) > área de trabalho > produto > API > operação.
Recomendações para políticas globais com gateways de espaço de trabalho
Revise a sua política global para garantir que contém apenas políticas destinadas a aplicar-se a todos os gateways, incluindo gateways de espaço de trabalho.
Se precisar de comportamentos diferentes por gateway, use a política Choose com
context.Deployment.Gateway.Idpara executar políticas condicionalmente com base no gateway a processar o pedido.Se definir uma identidade gerida por autenticação no âmbito global mas o token não deveria estar disponível para APIs com âmbito de espaço de trabalho, mova a política para um âmbito mais restrito (por exemplo, ao nível do produto ou da API) em vez da política global.
Funções RBAC para espaços de trabalho
O RBAC do Azure é usado para configurar as permissões dos colaboradores do espaço de trabalho para ler e editar entidades no espaço de trabalho. Para obter uma lista de funções, consulte Como usar o controle de acesso baseado em função no Gerenciamento de API.
Para gerir APIs e outros recursos no espaço de trabalho, atribui papéis aos membros do espaço de trabalho (ou permissões equivalentes através de papéis personalizados) que sejam atribuídos ao serviço de Gestão de APIs e ao espaço de trabalho. A função com escopo de serviço permite fazer referência a determinados recursos de nível de serviço a partir de recursos no nível do espaço de trabalho. Por exemplo, organize um usuário em um grupo no nível do espaço de trabalho para controlar a visibilidade da API e do produto.
Se o espaço de trabalho utilizar um gateway dedicado ao espaço de trabalho, aos membros que gerem esse gateway também lhes deve ser atribuída uma função limitada ao recurso de gateway do espaço de trabalho.
Note
Para facilitar o gerenciamento, configure os grupos do Microsoft Entra para atribuir permissões de espaço de trabalho a vários usuários.
Espaços de trabalho e outros recursos de gerenciamento de API
Os espaços de trabalho são autónomos para maximizar a segregação do acesso administrativo e do tempo de execução da API. Para garantir uma maior produtividade e permitir a governação a nível da plataforma, observabilidade, reutilização e descoberta de APIs, existem várias exceções.
Referências de recursos - Os recursos em um espaço de trabalho podem fazer referência a outros recursos no espaço de trabalho e a recursos selecionados do nível de serviço, como usuários, servidores de autorização ou grupos de usuários internos. Eles não podem fazer referência a recursos de outro espaço de trabalho.
Por razões de segurança, não é possível referenciar recursos de nível de serviço a partir de políticas de nível de espaço de trabalho (por exemplo, valores nomeados), nem referenciá-los pelos nomes dos recursos, como
backend-idna política set-backend-service.Important
Todos os recursos em um serviço de Gerenciamento de API (por exemplo, APIs, produtos, tags ou assinaturas) precisam ter nomes exclusivos, mesmo que estejam localizados em espaços de trabalho diferentes. Não podes ter recursos do mesmo tipo e com o mesmo nome de recurso Azure no mesmo espaço de trabalho, noutros espaços de trabalho ou ao nível do serviço.
Portal do desenvolvedor - Os espaços de trabalho são um conceito administrativo e não são apresentados como tal aos consumidores do portal do desenvolvedor, inclusive por meio da interface do usuário do portal do desenvolvedor e da API subjacente. Pode publicar APIs e produtos dentro de um espaço de trabalho no portal do programador, tal como APIs e produtos ao nível do serviço.
Note
O Gerenciamento de API oferece suporte à atribuição de servidores de autorização definidos no nível de serviço a APIs em espaços de trabalho.
Migrar de espaços de trabalho de pré-visualização
Se você criou espaços de trabalho de visualização no Gerenciamento de API do Azure e deseja continuar a usá-los, migre seus espaços de trabalho para a versão disponível em geral associando um gateway de espaço de trabalho a cada espaço de trabalho.
Para obter detalhes e saber mais sobre outras alterações que podem afetar os espaços de trabalho de visualização, consulte Alterações significativas nos Workspaces (março de 2025).
Eliminar uma área de trabalho
Quando apagas um espaço de trabalho usando a interface do portal do Azure, também eliminas todos os seus recursos filhos (APIs, produtos, etc.) e um gateway dedicado de espaço de trabalho, se estiver associado. Ele não exclui a instância de Gerenciamento de API ou outros espaços de trabalho.