Synchronizace rozhraní API ze služby Amazon API Gateway do služby Azure API Center (Preview)

Tento článek ukazuje, jak integrovat Amazon API Gateway, aby rozhraní API brány byla neustále aktuální v inventáři centra API.

Integrace služby Amazon API Gateway

Integrace služby Amazon API Gateway jako zdroje rozhraní API pro vaše centrum API umožňuje průběžnou synchronizaci, aby inventář rozhraní API zůstal aktuální. Azure API Center může také synchronizovat rozhraní API ze zdrojů, včetně služby Azure API Management.

Když integrujete Amazon API Gateway jako zdroj rozhraní API, stane se toto:

1. Rozhraní API a volitelně definice rozhraní API (specifikace) ze služby API Gateway se přidají do inventáře centra rozhraní API.
2. V centru rozhraní API nakonfigurujete prostředí typu Amazon API Gateway .
3. Pro každou synchronizovanou definici rozhraní API se vytvoří přidružené nasazení .

Synchronizace je jednosměrná ze služby Amazon API Gateway do centra rozhraní Azure API, což znamená, že aktualizace rozhraní API v centru API se nesynchronují zpět do služby Amazon API Gateway.

Poznámka:

• Integrace služby Amazon API Gateway je aktuálně ve verzi Preview.
• Počet integrovaných zdrojů rozhraní API má omezení .
• Rozhraní API ve službě Amazon API Gateway se synchronizují s centrem rozhraní API jednou za hodinu. Synchronizují se jenom rozhraní REST API.
• Definice rozhraní API se také synchronizují do centra rozhraní API, pokud vyberete možnost jejich zahrnutí během integrace. Synchronizují se jenom definice z nasazených rozhraní API.

Entity synchronizované ze služby Amazon API Gateway

Do synchronizovaných rozhraní API v centru rozhraní API můžete přidat nebo aktualizovat vlastnosti metadat a dokumentaci, které zúčastněným stranám pomůžou zjišťovat, pochopit a využívat rozhraní API. Přečtěte si další informace o předdefinovaných a vlastních vlastnostech metadat služby Azure API Center.

Následující tabulka ukazuje vlastnosti entity, které je možné upravit ve službě Azure API Center a vlastnosti nastavené na základě jejich hodnot ve zdroji rozhraní API.

Entity	Vlastnosti konfigurovatelné ve službě API Center	Vlastnosti určené v integrovaném zdroji rozhraní API
rozhraní API	Souhrn lifecycleStage termsOfService license externalDocumentation customProperties	title description kind
Verze rozhraní API	lifecycleStage	title definice (pokud jsou synchronizované)
Prostředí	title description kind server.managementPortalUri onboarding customProperties	server.type
Nasazení	title description server state customProperties	server.runtimeUri

Poznámka:

Id prostředků a systému pro entity synchronizované s Azure API Center se generují automaticky a není možné je změnit.

Požadavky

• Centrum rozhraní API ve vašem předplatném Azure. Pokud jste ho ještě nevytvořili, přečtěte si článek Rychlý start: Vytvoření centra rozhraní API.

• Trezor klíčů Azure. Pokud ho potřebujete vytvořit, přečtěte si článek Rychlý start: Vytvoření trezoru klíčů pomocí webu Azure Portal. Pokud chcete přidat nebo spravovat tajné kódy v trezoru klíčů, vyžaduje se alespoň role Tajné kódy služby Key Vault nebo ekvivalentní oprávnění.

• Amazon API Gateway.

• Identita uživatele AWS IAM s připojenými AmazonAPIGatewayAdministrator zásadami.

• Pro Azure CLI:

  • Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.

    

  • Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.

    • Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.

    • Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.

    • Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

  Poznámka:

  az apic příkazy vyžadují apic-extension rozšíření Azure CLI. Pokud jste nepoužili az apic příkazy, můžete rozšíření nainstalovat dynamicky při spuštění prvního az apic příkazu nebo rozšíření nainstalovat ručně. Přečtěte si další informace o rozšířeních Azure CLI.

  Podívejte se na poznámky k verzi nejnovějších změn a aktualizací v nástroji apic-extension. Některé funkce můžou vyžadovat verzi Preview nebo konkrétní verzi rozšíření.

  Poznámka:

  Příklady příkazů Azure CLI v tomto článku se dají spustit v PowerShellu nebo prostředí Bash. Pokud je to potřeba kvůli jiné syntaxi proměnných, jsou pro tyto dvě prostředí k dispozici samostatné příklady příkazů.

Vytvoření přístupových klíčů uživatelů IAM

K ověření centra rozhraní API ve službě Amazon API Gateway potřebujete přístupové klíče pro uživatele AWS IAM.

Pokud chcete vygenerovat požadované ID přístupového klíče a tajný klíč pomocí konzoly pro správu AWS, přečtěte si téma Vytvoření přístupového klíče pro sebe v dokumentaci K AWS.

Uložte přístupové klíče do bezpečného umístění. V dalších krocích je uložíte ve službě Azure Key Vault.

Upozornění

Přístupové klíče jsou dlouhodobé přihlašovací údaje a měli byste je spravovat stejně bezpečně jako heslo. Další informace o zabezpečení přístupových klíčů

Ukládání přístupových klíčů uživatelů IAM ve službě Azure Key Vault

Ručně nahrajte a bezpečně uložte dva přístupové klíče uživatele IAM ve službě Azure Key Vault pomocí konfigurace doporučené v následující tabulce. Další informace najdete v tématu Rychlý start: Nastavení a načtení tajného kódu ze služby Azure Key Vault pomocí webu Azure Portal.

Tajný kód AWS	Možnosti nahrání	Název	Hodnota tajného klíče
Přístupový klíč	Ruční	aws-access-key	ID přístupového klíče načtené z AWS
Tajný přístupový klíč	Ruční	aws-secret-access-key	Tajný přístupový klíč načtený z AWS

Poznamenejte si identifikátor tajného klíče každého tajného kódu , identifikátor URI podobný https://<key-vault-name>.vault.azure.net/secrets/<secret-name>. Tyto identifikátory použijete v dalších krocích.

Povolení spravované identity v centru rozhraní API

V tomto scénáři centrum rozhraní API používá spravovanou identitu pro přístup k prostředkům Azure. V závislosti na vašich potřebách povolte spravované identity přiřazené systémem nebo jednu nebo více spravovaných identit přiřazených uživatelem.

Následující příklady ukazují, jak povolit spravovanou identitu přiřazenou systémem pomocí webu Azure Portal nebo Azure CLI. Na vysoké úrovni jsou kroky konfigurace podobné spravované identitě přiřazené uživatelem.

Azure Portal

1. Na portálu přejděte do centra rozhraní API.
2. V nabídce vlevo v části Zabezpečení vyberte Spravované identity.
3. Vyberte Přiřazený systém a nastavte stav na Zapnuto.
4. Zvolte Uložit.

Azure CLI

Pomocí následujícího příkazu az apic update nastavte identitu přiřazenou systémem v centru rozhraní API. Nahraďte názvy centra rozhraní API a skupiny prostředků:

az apic update --name <api-center-name> --resource-group <resource-group-name> --identity '{"type": "SystemAssigned"}'

Přiřazení spravované identity roli uživatele tajných kódů služby Key Vault

Pokud chcete povolit import rozhraní API, přiřaďte spravované identitě Centra rozhraní API roli uživatele tajných kódů služby Key Vault ve službě Azure Key Vault. Můžete použít portál nebo Azure CLI.

Azure Portal

1. Na portálu přejděte do trezoru klíčů.
2. V nabídce vlevo vyberte Řízení přístupu (IAM).
3. Vyberte + Přidat přiřazení role.
4. Na stránce Přidat přiřazení role nastavte hodnoty následujícím způsobem:
   1. Na kartě Role vyberte uživatele tajných kódů služby Key Vault.
   2. Na kartě Členové v části Přiřadit přístup – Vyberte spravované identity> a vyberte členy.
   3. Na stránce Vybrat spravované identity vyberte spravovanou identitu přiřazenou systémem centra rozhraní API, kterou jste přidali v předchozí části. Klepněte na tlačítko Vybrat.
   4. Vyberte Zkontrolovat + přiřadit.

Azure CLI

1. Získejte ID objektu zabezpečení identity. Pro identitu přiřazenou systémem použijte příkaz az apic show .

   #! /bin/bash
   apicObjID=$(az apic show --name <api-center-name> \
       --resource-group <resource-group-name> \
       --query "identity.principalId" --output tsv)
   

   # Formatted for PowerShell
   $apicObjID=$(az apic show --name <api-center-name> `
       --resource-group <resource-group-name> `
       --query "identity.principalId" --output tsv)
   

2. Pomocí příkazu az keyvault show získejte ID prostředku vašeho trezoru klíčů.

   #! /bin/bash
   kvID=$(az keyvault show --name <kv-name> --resource-group <resource-group-name> --query "id" --output tsv)
   

   # Formatted for PowerShell
   $kvID=$(az keyvault show --name <kv-name> --resource-group <resource-group-name> --query "id" --output tsv)
   

3. Přiřaďte spravovanou identitu roli uživatele tajných kódů služby Key Vault v trezoru klíčů příkaz az role assignment create .

   #! /bin/bash
   scope="${kvID:1}"
   
   az role assignment create \
       --role "Key Vault Secrets User" \
       --assignee-object-id $apicObjID \
       --assignee-principal-type ServicePrincipal \
       --scope $scope 
   

   # Formatted for PowerShell
   $scope=$apimID.substring(1)
   
   az role assignment create `
       --role "Key Vault Secrets User" `
       --assignee-object-id $apicObjID `
       --assignee-principal-type ServicePrincipal `
       --scope $scope 
   

Integrace služby Amazon API Gateway

Spuštěním příkazu az apic integration create aws (Preview) integrujte službu Amazon API Gateway do centra rozhraní API.

• Zadejte názvy skupiny prostředků, centra rozhraní API a integrace.

• Zadejte identifikátory tajných kódů služby Key Vault pro přístupový klíč AWS a přístupový klíč tajných kódů a oblast AWS, ve které je nasazená brána Amazon API Gateway.

az apic integration create aws \
    --resource-group <resource-group-name> \
    --service-name-name <api-center-name> \
    --integration-name <aws-integration-name> \
    --aws-access-key-reference <access-key-uri> \
    --aws-secret-access-key-reference <secret-access-key-uri> 
    --aws-region-name <aws-region>

---

Prostředí se přidá do centra rozhraní API. Rozhraní API služby Amazon API Gateway se naimportují do inventáře centra rozhraní API.

Odstranění integrace

I když je zdroj rozhraní API integrovaný, nemůžete odstranit synchronizovaná rozhraní API z centra rozhraní API. Pokud potřebujete, můžete integraci odstranit. Když odstraníte integraci:

• Synchronizovaná rozhraní API v inventáři centra API se odstraní.
• Odstraní se prostředí a nasazení přidružená ke zdroji rozhraní API.

Pokud chcete odstranit integraci pomocí Azure CLI, spusťte příkaz az apic integration delete (Preview). Zadejte názvy skupiny prostředků, centra rozhraní API a integrace.

az apic integration delete \
    --resource-group <resource-group-name> \
    --service-name <api-center-name> \
    --integration-name <integration-name> 

Související obsah

• Správa inventáře rozhraní API pomocí příkazů Azure CLI
• Synchronizace rozhraní API ze služby API Management do centra azure API