適用於:進階版
設定 工作區 ,讓 API 小組能夠管理及產品化自己的 API,同時為 API 平臺小組提供觀察、控管和維護 API 管理平臺的工具。 建立工作區並指派權限之後,工作區共同作業者可以建立及管理自己的 API、產品、訂用帳戶和相關資源。
注意
- API 管理 REST API 版本 2023-09-01-preview 或更新版本中支援最新的工作區功能。
- 如需定價考慮,請參閱 API 管理定價。
遵循此文章中的步驟,以便:
- 在 Azure 入口網站中,建立 API 管理工作區並將工作區閘道關聯起來。
- 選擇性地隔離 Azure 虛擬網路中的工作區閘道
- 指派權限給工作區
注意
- 目前,建立工作區閘道是長時間執行的作業,最多可能需要 3 小時或更長時間才能完成。
- 將多個工作區與工作區網關建立關聯僅適用於 2025 年 4 月 15 日之後建立的工作區閘道。 深入了解共用工作區閘道。
必要條件
- API 管理執行個體。 如果需要,請在支援的層中建立一個。
- 部署 API 管理實例之資源群組的擁有者或參與者角色,或在資源群組中建立資源的對等許可權。
- (選擇性)新或現有 Azure 虛擬網路中的子網,用來隔離工作區閘道的輸入和輸出流量。 如需組態選項和需求,請參閱 工作區閘道的網路資源需求。
建立工作區 (入口網站)
登入 Azure 入口網站,並流覽至您的 API 管理實例。
在左側功能表中的 [API] 下,選取 [工作區]> [+ 新增]。
在 [基本] 索引標籤上,輸入工作區的描述性 [顯示名稱]、資源 [名稱] 和選用的 [描述]。 選取 [下一步]。
在 [ 閘道] 索引標籤上,設定工作區閘道的設定。
選取 [新建 ] 以建立新的工作區閘道,或選取 [ 使用現有 ] 將工作區與已部署其他工作區的現有網關產生關聯。
如果您選擇建立新的閘道:
在 [閘道詳細資料] 中,輸入新的閘道名稱,然後選取縮放 單位的數目。 閘道成本是以單位數目為基礎。 如需詳細資訊,請參閱 API 管理定價。
在 [網路] 中,選取工作區閘道的 [網路設定]。
重要
請仔細規劃工作區的網路設定。 建立工作區之後,您無法變更網路設定。
如果您選擇出入公用存取、出入私人存取(虛擬網路整合),或選擇出入私人存取(虛擬網路插入),請選擇虛擬網路和子網以隔離工作區網關,或建立新的存取。 如需網路需求,請參閱 工作區閘道的網路資源需求。
選取 [下一步]。 驗證完成時,選取 [建立]。
注意
如果選取,建立新的工作區閘道最多可能需要數小時才能完成。 若要追蹤 Azure 入口網站中的部署進度,請移至閘道的資源群組。 在左側功能表的 [設定] 下,選取 [部署]。
部署完成之後,新的工作區會出現在 [工作區] 頁面上的清單中。 請選取工作區以管理其設定和資源。
注意
- 若要檢視閘道執行階段主機名稱和其他閘道詳細資料,請在入口網站中選取工作區。 在 [部署 + 基礎結構] 下,選取 [閘道],然後選取工作區閘道的名稱。
- 建立工作區閘道時,對工作區 API 的執行階段呼叫將不會成功。
將使用者指派給工作區 (入口網站)
建立工作區之後,請將權限指派給使用者以管理工作區的資源。 您必須為每個工作區使用者指派服務範圍的工作區 RBAC 角色和工作區範圍的 RBAC 角色,或使用自訂角色授與對等權限。
若要管理工作區閘道,我們也建議將 Azure 提供的 RBAC 角色指派給工作區閘道。
注意
為了更容易管理,請設定 Microsoft Entra 群組,將工作區權限指派給多個使用者。
- 如需內建工作區角色的清單,請參閱 如何在 API 管理中使用角色型訪問控制。
- 如需指派角色的步驟,請參閱 使用入口網站指派 Azure 角色。
指派服務範圍角色
登入 Azure 入口網站,並流覽至您的 API 管理實例。
在左側功能表中,選取 [存取控制 (IAM)]>[+ 新增]。
將下列其中一個服務範圍角色指派給工作區的每個成員:
- API 管理服務工作區 API 開發人員
- API 管理服務工作區 API 產品管理員
指派工作區範圍角色
在 APIM 執行個體的功能表中,於 [API] 下選取 [工作區]> 您建立的工作區名稱。
在 [工作區] 視窗中,選取 [存取控制 (IAM)]>[+ 新增]。
將下列其中一個工作區範圍角色指派給工作區成員,使其可以管理工作區 API 和其他資源。
- APIM 工作區讀者
- APIM 工作區參與者
- APIM 工作區 API 開發人員
- API 管理工作區 API 產品管理員
指派閘道範圍角色
登入 Azure 入口網站,並流覽至您的 API 管理實例。
在左側功能表中的 [API] 下,選取 [工作區]> 您工作區的名稱。
在工作區的左側功能表中,選取 [閘道],然後選取工作區閘道。
在左側功能表中,選取 [存取控制 (IAM)]>[+ 新增]。
將下列其中一個角色指派給工作區的每個成員。 我們建議至少指派 [讀者] 角色來檢視閘道的設定。 [擁有者] 和 [參與者] 可以管理閘道的設定,包括調整閘道的大小。
- 擁有者
- 貢獻
- 讀者
啟用監視工作區 API 的診斷設定
設定設定以收集工作區的 Azure 監視器記錄,並將其傳送至 Log Analytics 工作區,讓工作區小組可以監視自己的 API,而 API 平臺小組可以存取 API 管理實例的集中式記錄。 請參閱下圖:
若要收集工作區的 Azure 監視器記錄,服務層級和工作區層級都需要診斷設定:
首先,如果尚未啟用設定,請在 服務層級 啟用診斷設定,以收集 API 管理閘道記錄。 建議將記錄傳送至Log Analytics工作區。 如需詳細資訊,請參閱 設定 API 管理的診斷設定。
然後,在 工作區層級 啟用診斷設定,以將 API 管理閘道記錄傳送至相同的 Log Analytics 工作區。 此設定會收集與工作區相關聯的所有工作區閘道記錄。
重要
服務層級的診斷設置會在整個 API 管理實例中配置日志記錄,包括在工作區層級已啟用診斷設置的工作區。 如果您未啟用工作區層級診斷設定,將不會將工作區的網關記錄收集或匯總至Log Analytics。
注意
根據預設,指派內建工作區 RBAC 角色的工作區小組成員沒有許可權可編輯工作區中的診斷設定。 API 平臺小組具有這些許可權。
以設定工作區診斷設定來收集工作區層級閘道日志:
登入 Azure 入口網站,並流覽至您的 API 管理實例。
在左側功能表中的 [API] 下,選取 [工作區]> 您工作區的名稱。
在工作區的左側功能表中,選取 [ 監視] 底下的 [診斷設定>+ 新增診斷設定]。
在 [ 診斷設定 ] 頁面上,輸入或選取設定的詳細數據:
- 診斷設定名稱:輸入描述性名稱。
- 類別群組:(選用) 為您的案例選取此項目。
- 在 類別 下,選取 與 ApiManagement 閘道相關的記錄 以收集此工作區中 API 的閘道記錄。
- 在 [目的地詳細數據] 下,選取將記錄傳送至服務層級診斷設定和其他工作區層級診斷設定中指定的相同 Azure Log Analytics 工作區。
- 選取 [儲存]。
注意
- 目前,只能收集工作區的網關記錄。
- 流覽至工作區左側功能表中的 [ 監視>記錄 ],以存取工作區層級記錄。
開始使用您的工作區
根據其在工作區中的角色而定,使用者可能有權建立 API、產品、訂用帳戶和其他資源,或者,他們可能具有存取其中部分或全部的唯讀權限。
若要開始在工作區中管理、保護及發佈 API,請參閱下列指導。
| 資源 | 指南 |
|---|---|
| API | 教學課程:匯入和發佈您的第一個 API |
| 產品 | 教學課程:建立和發佈產品 |
| 訂用帳戶 |
Azure API 管理中的訂用帳戶 在 API 管理中建立訂用帳戶 |
| 原則 |
教學課程:轉換和保護 API Azure API 管理中的原則 設定或編輯 API 管理原則 |
| 具名值 | 使用具名值管理秘密 |
| 後端 | 在 Azure API 管理中使用後端 |
| 原則片段 | 在 API 管理原則定義中重複使用原則設定 |
| 結構描述 | 驗證內容 |
| 群組 | 建立和使用群組來管理開發人員帳戶 |
| 通知 | 如何設定通知和通知範本 |