你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在 Azure API 管理中创建和管理工作区
适用于:高级
设置工作区,使 API 团队能够管理和产品化其自己的 API,同时为 API 平台团队提供观察、治理和维护 API 管理平台的工具。 创建工作区并分配权限后,工作区协作者可以创建和管理自己的 API、产品、订阅和相关资源。
注意
- API 管理 REST API 版本 2023-09-01-preview 或更高版本支持最新工作区功能。
- 有关定价注意事项,请参阅 API 管理定价。
按照本文中的步骤执行以下操作:
- 使用 Azure 门户创建 API 管理工作区和工作区网关
- (可选)在 Azure 虚拟网络中隔离工作区网关
- 向工作区分配权限
注意
目前,创建工作区网关是一项长期运行的操作,可能需要长达 3 小时或更长的时间才能完成。
先决条件
- API 管理实例。 请在受支持的层级中创建一个(如果需要)。
- 部署 API 管理实例的资源组上的“所有者”或“参与者”角色,或在资源组中创建资源的等效权限。
- (可选)现有的或新的 Azure 虚拟网络和子网,用于隔离工作区网关的入站和出站流量。 有关配置选项和要求,请参阅工作区网关的网络资源要求。
创建工作区 - 门户
登录到 Azure 门户,并导航到 API Management 实例。
在左侧菜单中的“API”下,选择“工作区”>“+ 添加”。
在“基本信息”选项卡上,输入工作区的描述性“显示名称”、资源“名称”和可选“说明”。 选择下一步。
在“网关”选项卡上,配置工作区网关的设置:
在“网关详细信息”中,输入网关名称并选择缩放“单元”的数目。 网关成本基于所选单元数。 有关详细信息,请参阅 API 管理定价。
在“网络”中,为工作区网关选择“网络配置”。
重要
请仔细规划工作区的网络配置。 创建工作区后,无法更改网络配置。
如果选择包含专用入站或专用出站网络访问的网络配置,请选择“虚拟网络”和“子网”来隔离工作区网关,或创建一个新的。 有关网络要求,请参阅工作区网关的网络资源要求。
选择下一步。 验证完成后,选择“创建”。
创建工作区、工作区网关和相关资源可能需要几分钟到几小时的时间。 若要在 Azure 门户中跟踪部署进度,请转到网关的资源组。 在左侧菜单的“设置”下选择“部署”。
在部署完成后,新工作区将显示在“工作区”页上的列表中。 选择工作区以管理其设置和资源。
注意
- 若要查看网关运行时主机名和其他网关详细信息,请选择门户中的工作区。 在“部署 + 基础结构”下,选择“网关”,然后选择工作区的网关的名称。
- 在创建工作区网关时,对工作区的 API 的运行时调用不会成功。
将用户分配到工作区 - 门户
创建工作区后,请向用户分配管理工作区资源的权限。 必须为每个工作区用户分配服务范围的工作区 RBAC 角色和工作区范围的 RBAC 角色,或使用自定义角色授予等效权限。
为了管理工作区网关,我们还建议为工作区用户分配 Azure 提供的、范围限定于工作区网关的 RBAC 角色。
注意
为便于管理,请设置 Microsoft Entra 组,以将工作区权限分配给多个用户。
- 有关内置工作区角色的列表,请参阅如何在 API 管理中使用基于角色的访问控制。
- 有关分配角色的步骤,请参阅使用门户分配 Azure 角色。
分配服务范围的角色
登录到 Azure 门户,并导航到 API Management 实例。
在左侧菜单中,选择“访问控制 (IAM)”>“+ 添加”。
将以下服务范围角色之一分配给工作区的每个成员:
- API Management 服务工作区 API 开发人员
- API 管理服务工作区 API 产品经理
分配工作区范围的角色
在 API 管理实例的菜单中的“API”下,选择“工作区”> 创建的工作区的名称。
在“工作区”窗口中,选择“访问控制 (IAM)”>“+ 添加”。
将以下工作区范围角色之一分配给工作区成员,使其能够管理工作区 API 和其他资源。
- API 管理工作区读者
- API 管理工作区参与者
- API 管理工作区 API 开发人员
- API 管理工作区 API 产品经理
分配网关范围的角色
登录到 Azure 门户,并导航到 API Management 实例。
在左侧菜单中的“API”下,选择“工作区”> 工作区的名称。
在工作区的左侧菜单中,选择“网关”,然后选择工作区网关。
在左侧菜单中,选择“访问控制 (IAM)”>“+ 添加”。
将以下角色之一分配给工作区的每个成员。 我们建议至少分配“读取者”角色来查看网关的设置。 “所有者”和“参与者”可以管理网关的设置,包括缩放网关。
- 所有者
- 参与者
- 读者
工作区入门
根据其在工作区中的角色,用户可能有权创建 API、产品、订阅和其他资源,也可能对部分或全部资源具有只读访问权限。
若要开始在工作区中管理、保护和发布 API,请参阅以下指南。
| 资源 | 指南 |
|---|---|
| API | 教程:导入和发布第一个 API |
| 产品 | 教程:创建和发布产品 |
| 订阅 | Azure API 管理中的订阅 在 API 管理中创建订阅 |
| 策略 | 教程:转换和保护 API Azure API 管理中的策略 设置或编辑 API 管理策略 |
| 命名值 | 使用命名值管理机密 |
| 后端 | 在 Azure API 管理中使用后端 |
| 策略片段 | 在 API 管理策略定义中重用策略配置 |
| 架构 | 验证内容 |
| 组 | 创建和使用组来管理开发人员帐户 |
| 通知 | 如何配置通知和通知模板 |