Apigee Spaces erstellen und verwalten

Diese Seite gilt für Apigee und Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

Auf dieser Seite wird beschrieben, wie Sie Apigee Spaces in Ihrer Apigee-Organisation erstellen, um IAM-Richtlinien (Identity and Access Management) für Apigee API-Ressourcen im großen Maßstab zu verwalten.

In dieser Anleitung werden die folgenden Schritte beschrieben:

Weitere Informationen zu den Vorteilen der Verwendung von Apigee Spaces zum Verwalten Ihrer API-Ressourcen finden Sie unter Apigee Spaces.

Hinweise

Bevor Sie mit Spaces beginnen:

  • Apigee bereitstellen. Prüfen Sie, ob die Apigee-Organisation mit Abo oder „Pay as you go“-Preisen , die Sie verwenden möchten, bereitgestellt ist. Weitere Informationen zu den Schritten, die zum Bereitstellen von Apigee erforderlich sind, finden Sie unter Einführung in die Bereitstellung.
  • Authentifizierungsdaten abrufen. Bevor Sie Befehle zum Erstellen und Verwalten von Spaces in der Befehlszeile ausführen, rufen Sie Ihre gcloud Authentifizierungsdaten mit dem folgenden Befehl ab:
    export TOKEN=$(gcloud auth print-access-token)

Erforderliche Rollen und Berechtigungen

Prüfen Sie, ob Sie die folgenden Rollen für das Projekt haben: Apigee > Apigee-Organisationsadministrator

Rollen prüfen

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen
  2. Wählen Sie das Projekt aus.
  3. Suchen Sie in der Spalte Hauptkonto nach allen Zeilen, in denen Sie oder eine Gruppe, zu der Sie gehören, angegeben sind. Wenn Sie wissen möchten, zu welchen Gruppen Sie gehören, wenden Sie sich an Ihren Administrator.

  4. Prüfen Sie in allen Zeilen, in denen Sie angegeben oder enthalten sind, die Rolle Spalte , um zu sehen, ob die Liste der Rollen die erforderlichen Rollen enthält.

Rollen zuweisen

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen
  2. Wählen Sie das Projekt aus.
  3. Klicken Sie auf „Zugriffsrechte erteilen.
  4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Das ist in der Regel die E‑Mail-Adresse eines Google-Kontos.

  5. Klicken Sie auf Rolle auswählen und suchen Sie nach der Rolle.
  6. Klicken Sie auf Add another role, wenn Sie weitere Rollen zuweisen möchten.
  7. Klicken Sie auf Speichern.

Gruppenbereich erstellen

Für diese Aufgabe benötigen Sie die Berechtigung apigee.spaces.create. Diese Berechtigung ist in der Rolle Apigee Organization Admin enthalten.

Erstellen Sie einen Gruppenbereich in Ihrer Apigee-Organisation über die Apigee Console oder die API, wie in den folgenden Abschnitten beschrieben.

Apigee Console

So erstellen Sie einen Gruppenbereich über die Apigee-Benutzeroberfläche:

  1. Rufen Sie in der Apigee-Benutzeroberfläche in der Cloud Console die Seite Spaces auf.
    Spaces aufrufen
  2. Klicken Sie auf Erstellen. Der Bereich Bereichsdetails hinzufügen wird geöffnet.
  3. Geben Sie im Feld Name eine eindeutige ID für den Gruppenbereich ein. Der Name darf maximal 63 Zeichen lang sein, muss mit einem Kleinbuchstaben beginnen und darf nur Kleinbuchstaben enthalten. Die vollständigen Anforderungen an die Benennung finden Sie unter AIP-122: Resource names.
  4. (Optional) Geben Sie im Feld Anzeigename eine für Menschen lesbare Bezeichnung für den Gruppenbereich ein.
  5. Klicken Sie auf Hinzufügen.

Nach der Erstellung sehen Organisationsmitglieder den Gruppenbereich als verfügbaren Parameter, wenn sie API-Ressourcen erstellen.

Apigee API

Verwenden Sie den folgenden Befehl, um einen Gruppenbereich in Ihrer Apigee-Organisation zu erstellen:

curl -X POST -H "Authorization: Bearer $TOKEN" -H "Content-Type: application/json" \
    "https://apigee.googleapis.com/v1/organizations/ORG_NAME/spaces" \
    --data-raw '{
       "name":"SPACE_NAME",
       "displayName":"DISPLAY_NAME"
    }'

Wobei:

  • ORG_NAME ist der Name Ihrer Apigee-Organisation.
  • SPACE_NAME ist der Name und die eindeutige ID des Gruppenbereichs. Der Name darf maximal 63 Zeichen lang sein, muss mit einem Kleinbuchstaben beginnen und darf nur Kleinbuchstaben enthalten. Die vollständigen Anforderungen an die Benennung finden Sie unter AIP-122: Resource names.
  • DISPLAY_NAME ist der für Menschen lesbare Name des Gruppenbereichs wie er in der Apigee-Benutzeroberfläche in der Cloud Console angezeigt wird.

Mitglieder und Rollen in einem Gruppenbereich verwalten

Nachdem Sie einen Gruppenbereich erstellt haben, können Sie Teammitglieder hinzufügen und die IAM-Rollen zuweisen, die zum Erstellen und Verwalten von API-Ressourcen erforderlich sind.

Organisationsmitglied einem Gruppenbereich hinzufügen

Für diese Aufgabe benötigen Sie die Berechtigung apigee.spaces.setIamPolicy.

Apigee Console

So gewähren Sie einem Mitglied über die Apigee-Benutzeroberfläche Zugriff auf einen Gruppenbereich:

  1. Rufen Sie in der Apigee-Benutzeroberfläche in der Cloud Console die Seite Spaces auf.
  2. Klicken Sie auf den Namen des Gruppenbereichs, den Sie verwalten möchten.
  3. Klicken Sie im Abschnitt Zugriffsdetails auf Zugriffsrechte erteilen.
  4. Geben Sie im Feld Mitglieder hinzufügen die E‑Mail-Adressen der Nutzer oder Gruppen ein, die Sie hinzufügen möchten.
  5. Wählen Sie unter Rolle zuweisen entweder Content Editor oder Content Viewer aus.
  6. Klicken Sie auf Hinzufügen.

Apigee API

Verwenden Sie den folgenden Befehl, um ein Organisationsmitglied einem Gruppenbereich hinzuzufügen und eine IAM-Rolle zuzuweisen:

curl -X POST -H "Authorization: Bearer $TOKEN" -H "Content-type: application/json" \
    "https://apigee.googleapis.com/v1/organizations/ORG_NAME/spaces/SPACE_NAME:setIamPolicy" -d \
      '{
        "policy":{
          "bindings":[
            {
              "members": ["user:USER_EMAIL"],
              "role": "roles/IAM_ROLE"
            }
          ]
        }
      }'

Wobei:

  • ORG_NAME ist der Name Ihrer Apigee-Organisation.
  • SPACE_NAME ist der Name des Gruppenbereichs.
  • USER_EMAIL ist die E‑Mail-Adresse des Nutzers, den Sie dem Gruppenbereich hinzufügen. Wenn Sie anstelle eines einzelnen Nutzers eine Google-Gruppe hinzufügen möchten, ändern Sie das Präfix von user: in group: und geben Sie die E‑Mail-Adresse der Gruppe an.
  • IAM_ROLE ist der Name der IAM-Rolle, die Sie dem Mitglied zuweisen.

Mitglieder aus einem Space entfernen

Für diese Aufgabe benötigen Sie die Berechtigung apigee.spaces.setIamPolicy.

Apigee Console

So entfernen Sie ein Mitglied über die Apigee-Benutzeroberfläche aus einem Gruppenbereich:

  1. Rufen Sie in der Apigee-Benutzeroberfläche in der Cloud Console die Seite Spaces auf und klicken Sie auf den Namen des Gruppenbereichs.
  2. Aktivieren Sie in der Tabelle Zugriffsdetails das Kästchen neben einem oder mehreren Mitgliedern, die Sie entfernen möchten.
  3. Klicken Sie auf Zugriff entfernen.
  4. Klicken Sie im Dialogfeld zur Bestätigung auf Bestätigen.

Apigee API

Wenn Sie Mitglieder aus einem Gruppenbereich entfernen möchten, legen Sie mit der setIamPolicy Methode eine neue IAM-Richtlinie für den Gruppenbereich mit der überarbeiteten Liste der Mitglieder fest. Mit dieser Methode wird eine neue IAM-Richtlinie erstellt, die die vorhandene Richtlinie ersetzt.

Wenn Sie beispielsweise die Mitglieder des blauen Gruppenbereichs aktualisieren möchten, können Sie zuerst die aktuelle IAM-Richtlinie mit dem folgenden Befehl prüfen:

curl -X GET -H "Authorization: Bearer $TOKEN" \
  "https://apigee.googleapis.com/v1/organizations/acme/spaces/blue:getIamPolicy"

Die Ausgabe des Befehls gibt die aktuelle IAM-Richtlinie für den Space zurück und sollte in etwa so aussehen:

{
  "version": "0",
  "bindings": [
    {
      "role": "roles/apigee.spaceContentEditor",
      "members": [
        "group:blue-team@acme.com",
        "user:user-a@acme.com",
        "user:user-b@acme.com",
        "user:user-c@acme.com"
      ]
    }
  ]
}

Verwenden Sie den folgenden Befehl, um user-b@acme.com aus dem Gruppenbereich zu entfernen:

curl -X POST -H "Authorization: Bearer $TOKEN" -H "Content-type: application/json" \
  "https://apigee.googleapis.com/v1/organizations/acme/spaces/blue:setIamPolicy" -d \
    '{
      "policy":{
        "bindings":[
          {
            "members": [
              "group:blue-team@acme.com",
              "user:user-a@acme.com",
              "user:user-c@acme.com"
            ],
            "role": "roles/apigee.spaceContentEditor"
          }
        ]
      }
    }'

Die neue IAM-Richtlinie für den Gruppenbereich enthält user-b@acme.com nicht mehr.

Wenn Sie ein Mitglied aus einer Gruppe entfernen möchten, die in einem Gruppenbereich enthalten ist, entfernen Sie das Mitglied zunächst aus der Gruppe und führen Sie dann den setIamPolicy Befehl erneut aus, um die IAM-Richtlinie für den Gruppenbereich mit der korrekten Mitgliedschaft für den E‑Mail-Alias der Gruppe zu aktualisieren.

Alle Spaces in einer Organisation auflisten

Für diese Aufgabe benötigen Sie die Berechtigung apigee.spaces.list.

Apigee Console

Wenn Sie alle Gruppenbereiche aufrufen möchten, rufen Sie in der Apigee-Benutzeroberfläche in der Cloud Console die Seite Spaces auf.

Spaces aufrufen

In der Tabelle „Spaces“ sind alle Gruppenbereiche in Ihrer Organisation aufgeführt, einschließlich Name, Anzeigename und Gesamtzahl der Mitglieder.

Apigee API

Verwenden Sie den folgenden Befehl, um alle Spaces in einer Apigee-Organisation aufzulisten:

curl -X GET -H "Authorization: Bearer $TOKEN" \
    "https://apigee.googleapis.com/v1/organizations/ORG_NAME/spaces"

Wobei:

  • ORG_NAME ist der Name Ihrer Apigee-Organisation.

Details zum Gruppenbereich abrufen

Für diese Aufgabe benötigen Sie die Berechtigung apigee.spaces.get.

Apigee Console

So rufen Sie Details zum Gruppenbereich in der Apigee-Benutzeroberfläche auf:

  1. Rufen Sie in der Apigee-Benutzeroberfläche in der Cloud Console die Seite Spaces auf.
  2. Klicken Sie auf den Namen des Gruppenbereichs, den Sie aufrufen möchten. Auf der Detailseite werden der Name, der Anzeigename, die Zugriffsdetails und die Liste der Mitglieder angezeigt.

Apigee API

Verwenden Sie den folgenden Befehl, um die Details eines Gruppenbereichs abzurufen:

curl -X GET -H "Authorization: Bearer $TOKEN" \
    "https://apigee.googleapis.com/v1/organizations/ORG_NAME/spaces/SPACE_NAME"

Wobei:

  • ORG_NAME ist der Name Ihrer Apigee-Organisation.
  • SPACE_NAME ist der Name des Gruppenbereichs.

Gruppenbereich aktualisieren

Für diese Aufgabe benötigen Sie die Berechtigung apigee.spaces.update.

Sie können den Anzeigenamen eines vorhandenen Gruppenbereichs ändern. Der eindeutige Name kann nach der Erstellung nicht mehr geändert werden.

Apigee Console

So aktualisieren Sie einen Gruppenbereich in der Apigee-Benutzeroberfläche:

  1. Rufen Sie in der Apigee-Benutzeroberfläche in der Cloud Console die Seite Spaces auf und klicken Sie auf den Namen des Gruppenbereichs, den Sie aktualisieren möchten.
  2. Klicken Sie neben der Überschrift „Bereichsdetails“ auf die Schaltfläche Bearbeiten (Stiftsymbol).
  3. Ändern Sie den Anzeigenamen nach Bedarf.
  4. Klicken Sie auf Speichern.

Apigee API

Verwenden Sie den folgenden Befehl, um einen Gruppenbereich über die API zu aktualisieren:

curl -X PATCH -H "Authorization: Bearer $TOKEN" -H "Content-Type: application/json" \
    "https://apigee.googleapis.com/v1/organizations/ORG_NAME/spaces/SPACE_NAME" \
      --data-raw '{
        "displayName":"DISPLAY_NAME"
      }'

Wobei:

  • ORG_NAME ist der Name Ihrer Apigee-Organisation.
  • SPACE_NAME ist der Name des Gruppenbereichs.
  • DISPLAY_NAME ist der neue Anzeigename für den Gruppenbereich.

Gruppenbereiche löschen

Für diese Aufgabe benötigen Sie die Berechtigung apigee.spaces.delete.

Apigee Console

So löschen Sie einen Gruppenbereich über die Apigee-Benutzeroberfläche:

  1. Rufen Sie in der Apigee-Benutzeroberfläche in der Cloud Console die Seite Spaces auf.
  2. Klicken Sie in der Zeile des Gruppenbereichs, den Sie löschen möchten, auf Löschen.
  3. Geben Sie im Dialogfeld zur Bestätigung den genauen Namen des Gruppenbereichs ein.
  4. Klicken Sie auf Löschen.

Apigee API

Bevor Sie einen Gruppenbereich über die API löschen, müssen alle Ressourcen in dem Gruppenbereich gelöscht oder verschoben werden.

curl -X DELETE -H "Authorization: Bearer $TOKEN" \
    "https://apigee.googleapis.com/v1/organizations/ORG_NAME/spaces/SPACE_NAME"

Wobei:

  • ORG_NAME ist der Name Ihrer Apigee-Organisation.
  • SPACE_NAME ist der Name des Gruppenbereichs.

Wenn Sie versuchen, einen Gruppenbereich zu löschen, der noch aktive Ressourcen enthält, schlägt das Löschen mit einer Antwort ähnlich der folgenden fehl:

{
  "error": {
    "code": 400,
    "message": "Space \"red\" has resources associated with it. Please delete the resources before deleting the space.",
    "status": "FAILED_PRECONDITION"
  }
}

Löschen oder verschieben Sie alle Ressourcen im Gruppenbereich, bevor Sie versuchen, ihn zu löschen.

Nächste Schritte