Azure API 管理中的工作區

  • 發行項

適用於:進階版

在 API 管理中,工作區可讓分散式 API 開發小組管理及產品化自己的 API,而集中式 API 平台小組則維護 API 管理基礎結構。 每個工作區都包含僅供工作區共同作業者存取的 API、產品、訂用帳戶和相關實體。 存取權是透過 Azure 角色型存取控制來控制 (RBAC) 來控制。

注意

範例案例總覽

使用 Azure API 管理管理 API 的組織可能會有多個開發小組開發、定義、維護及產品化不同的 API 集合。 工作區可讓這些小組分別使用 API 管理來管理和存取其 API,並且獨立於管理服務基礎結構。

以下是用來建立和使用工作區的範例工作流程。

  1. 管理 API 管理執行個體的中央 API 平台小組會建立工作區,並使用 RBAC 角色將權限指派給工作區共同作業者,例如,在工作區中建立或讀取資源的權限。

  2. 中央 API 平台小組會使用 DevOps 工具來為該工作區中的 API 建立 DevOps 管線。

  3. 工作區成員會在工作區中開發、發佈、產品化及維護 API。

  4. 中央 API 平台小組會管理服務的基礎結構,例如網路連線、監視、復原,以及強制執行所有 API 原則。

工作區功能

您可以在工作區預覽版中管理下列資源。

API 和原則

  • 建立和管理 API 和 API 作業,包括 API 版本集合、API 修訂和 API 原則。

  • 針對工作區中的所有 API 套用原則。

  • 描述具有工作區層級標籤的 API。

  • 定義用於要求和回應驗證的具名值、原則片段和結構描述,以便在工作區範圍的原則中使用。

注意

在工作區中,原則範圍如下所示:所有 API (服務) > 所有 API (工作區) > 產品 > API > API 作業

使用者和群組

  • 將使用者 (從服務等級) 組織成工作區中的群組。

產品和訂用帳戶

  • 使用產品發佈 API。 工作區中的 API 只能是工作區層級產品的一部分。 可視性可以根據工作區層級或服務層級群組中的用戶成員資格來設定。

  • 使用訂用帳戶管理 API 的存取權。 工作區內的 API 或產品要求的訂用帳戶,會在該工作區中建立。

  • 使用開發人員入口網站發佈 API 和產品。

  • 管理與工作區中資源相關的系統管理電子郵件通知。

RBAC 角色

Azure RBAC 可用來設定工作區共同作業者的權限,以讀取和編輯工作區中的實體。 如需角色清單,請參閱如何在 API 管理中使用角色型存取控制

必須為工作區成員指派服務範圍的角色和工作區範圍的角色,或使用自訂角色授與對等權限。 服務範圍角色會啟用從工作區層級資源參考特定服務層級資源。 例如,將用戶組織成工作區層級群組,以控制 API 和產品可見度。

注意

為了更容易管理,請設定 Microsoft Entra 群組,將工作區權限指派給多個使用者。

工作區和其他 API 管理功能

  • 基礎結構功能 - API 管理平台基礎結構功能僅在服務層級進行管理,而非在工作區層級進行管理。 這些功能包括:

    • 私人網路連線能力

    • API 閘道,包括調整、位置和自我裝載閘道

  • 資源參考 - 工作區中的資源可以參考工作區中的其他資源,以及服務層級的使用者。 它們無法參考其他工作區的資源。

    基於安全性考量,您無法從工作區層級原則 (例如具名值) 或資源名稱 (例如 set-backend-service 原則中的backend-id) 參考服務層級資源。

  • 開發人員入口網站 - 工作區是系統管理概念,因此不會向開發人員入口網站取用者展示,包括透過開發人員入口網站 UI 和底層 API。 不過,API 和產品可以從工作區發佈至開發人員入口網站。 因此,開發人員入口網站所使用的任何資源 (例如 API、產品、標記或訂用帳戶) 都必須在服務中具有唯一的 Azure 資源名稱。 在相同工作區、其他工作區或服務等級中,不能有相同類型且具有相同 Azure 資源名稱的任何資源。

  • 刪除工作區 - 刪除工作區會刪除其所有子系資源 (API、產品等等)。

預覽限制

工作區目前不支援下列資源:

  • 授權伺服器 (認證管理員中的認證提供者)

  • 授權 (認證管理員中的認證提供者連線)

  • 後端

  • 用戶端憑證

  • 目前適用於 API 管理的 DevOps 工具

  • 診斷

  • 記錄器

  • Synthetic GraphQL API

  • 使用者指派的受控識別

因此,工作區目前不支援下列範例案例:

  • 使用工作區特定組態的監視 API

  • 管理 API 後端並從 Azure 服務匯入 API

  • 驗證用戶端憑證

  • 使用認證管理員 (先前稱為授權) 功能

  • 指定 API 授權伺服器資訊 (例如,針對開發人員入口網站)

  • 將工作區 API 發佈至自我裝載閘道

重要

API 管理服務中的所有資源都必須有唯一的名稱,即使它們位於不同的工作區中也一樣。

相關內容