次の方法で共有


Azure API Management のワークスペースとは

適用対象: Premium

API Management では、ワークスペースによって組織の API チームに新しいレベルの自律性がもたらされ、API Management サービス内での API の作成、管理、発行をより迅速かつ確実に、安全かつ生産的に行うことができます。 分離された管理アクセスと API ランタイムを提供することで、ワークスペースは API チームに権限を与えながら、API プラットフォーム チームが監視を維持できるようにします。 これには、一元的な監視、API ポリシーとコンプライアンスの実施、統合された開発者ポータルを使用した検出用の API の公開が含まれます。

ワークスペースは、API Management サービス内の "フォルダー" のように機能します。

  • 各ワークスペースには、API、製品、サブスクリプション、名前付き値、および関連リソースが含まれています。
  • ワークスペース内のリソースへのアクセスは、Microsoft Entra アカウントに割り当て可能な組み込みロールまたはカスタム ロールを使用して、Azure のロールベースのアクセス制御 (RBAC) によって管理されます。
  • 各ワークスペースは、ワークスペース内の API のバックエンド サービスに API トラフィックをルーティングするためにワークスペース ゲートウェイに関連付けられています。

ワークスペースを含む API Management サービスの概念図。

Note

  • 最新のワークスペース機能は、API Management REST API バージョン 2023-09-01-preview 以降でサポートされています。
  • 価格に関する考慮事項については、「API Management の価格」を参照してください。

ワークスペースを使用したフェデレーション API 管理

ワークスペースでは、既にサポートされている一元化されサイロ化されたモデルに加えて、API Management で API を管理するフェデレーション モデルに対するファースト クラスのサポートが追加されます。 これらのモデルの比較については、次の表を参照してください。

Model 説明
一元化

Azure API Management の一元化されたモデルの図。
長所
• 一元化された API ガバナンスと監視
• 効果的な API 検出とオンボードのための統合開発者ポータル
• インフラストラクチャのコスト効率

短所
• チーム間の管理アクセス許可に分離がない
• API ゲートウェイは単一障害点
• 特定のチームにランタイムの問題を属性付けできない
• コラボレーションを促進するためのプラットフォーム チームの負担によって API の拡張が縮小する可能性がある
サイロ化

Azure API Management のサイロ化されたモデルの図。
長所
• チーム間の管理アクセス許可の分離により、生産性とセキュリティが向上する
• チーム間で API ランタイムを分離することで API の信頼性、回復性、セキュリティが向上する
• ランタイム時の問題が含まれており、特定のチームに起因する

短所
• 一元化された API ガバナンスと監視の欠如
• 統合された開発者ポータルの欠如
• コスト増とプラットフォーム管理の難しさ
フェデレーション

Azure API Management のフェデレーション モデルの図。
長所
• 一元化された API ガバナンスと監視
• 効果的な API 検出とオンボードのための統合開発者ポータル
• チーム間の管理アクセス許可の分離により、生産性とセキュリティが向上する
• チーム間で API ランタイムを分離することで API の信頼性、回復性、セキュリティが向上する
• ランタイム時の問題が含まれており、特定のチームに起因する

短所
• プラットフォームのコストと管理の難しさは一元化されたモデルよりも大きいが、サイロ化されたモデルよりは低い

シナリオ例の概要

Azure API Management を使用して API を管理する組織には、さまざまな API セットの開発、定義、保守、製品化を行う複数の開発チームが存在する場合があります。 これらのチームはワークスペースによって、API Management を使用して、サービス インフラストラクチャの管理とは別に、個別に API の管理、アクセス、セキュリティ保護を行うことができます。

ワークスペースを作成して使用するワークフローの例を次に示します。

  1. API Management インスタンスを管理する中央 API プラットフォーム チームは、ワークスペースを作成し、RBAC ロール (ワークスペース内のリソースを作成または読み取るためのアクセス許可など) を使用してワークスペース コラボレーターにアクセス許可を割り当てます。 ワークスペース用の専用 API ゲートウェイも作成されます。

  2. 中央 API プラットフォーム チームは、DevOps ツールを使用して、そのワークスペースに API 用の DevOps パイプラインを作成します。

  3. ワークスペース メンバーは、ワークスペース内の API の開発、発行、製品化、保守を行います。

  4. 中央 API プラットフォーム チームは、監視、回復性、すべての API ポリシーの適用など、サービスのインフラストラクチャを管理します。

ワークスペースでの API 管理

チームは、ワークスペース内の独自の API、製品、サブスクリプション、バックエンド、ポリシー、ロガー、およびその他のリソースを管理します。 ワークスペースでサポートされているリソースと操作の完全な一覧については、API Management REST API リファレンスを参照してください。

ワークスペースは API Management サービスやその他のワークスペースとは独立して管理されますが、設計上、選択したサービス レベルのリソースを参照できます。 この記事の後半の「ワークスペースとその他の API Management 機能」を参照してください。

ワークスペース ゲートウェイ

各ワークスペースをワークスペース ゲートウェイに関連付けて、ワークスペース内で管理されている API のランタイムを有効にすることができます。 ワークスペース ゲートウェイは、API Management サービスに組み込まれているゲートウェイと同じコア機能を備えたスタンドアロンの Azure リソースです。

ワークスペース ゲートウェイは、API Management サービスと互いに独立して管理されます。 これにより、ワークスペース間のランタイムを分離し、API の信頼性、回復性、セキュリティを向上させ、ランタイム問題をワークスペースに帰属させることができます。

ゲートウェイ ホスト名

ワークスペースをワークスペース ゲートウェイに関連付けるたびに、そのワークスペースで管理されている API の一意のホスト名が作成されます。 既定のホスト名は、パターン <workspace-name>-<hash>.gateway.<region>.azure-api.net に従います。 現在、カスタム ホスト名はワークスペース ゲートウェイではサポートされていません。

Note

2024 年 10 月まで、ワークスペース内の API には、ワークスペース ゲートウェイのホスト名に加えて、API Management インスタンスのゲートウェイ ホスト名を使用して実行時にアクセスできます。

ネットワークの分離

必要に応じて、プライベート仮想ネットワークでワークスペース ゲートウェイを構成して、受信トラフィックまたは送信トラフィックを分離できます。 ワークスペース ゲートウェイが構成されている場合、ゲートウェイは仮想ネットワーク内の専用サブネットを使用する必要があります。

詳細な要件については、「ワークスペース ゲートウェイのネットワーク リソース要件」を参照してください。

Note

  • ワークスペース ゲートウェイのネットワーク構成は、API Management インスタンスのネットワーク構成とは無関係です。
  • 現時点では、ワークスペース ゲートウェイは、ゲートウェイの作成時にのみ仮想ネットワークに設定できます。 ゲートウェイのネットワーク構成または設定を後で変更することはできません。

容量のスケーリング

特定のサービス レベルの API Management インスタンスに追加できるユニットと同様に、スケール ユニットを手動で追加または削除して、ゲートウェイ容量を管理します。 ワークスペース ゲートウェイのコストは、選択したユニット数に基づいています。

リージョン別の提供状況

ワークスペース ゲートウェイは現在、次のリージョンで利用できます。

Note

これらのリージョンは、API Management が使用可能なリージョンのサブセットです。

  • 米国西部
  • 米国中北部
  • 米国東部 2
  • 英国南部
  • フランス中部
  • ドイツ中西部
  • 北ヨーロッパ
  • 東アジア
  • 東南アジア
  • オーストラリア東部
  • 東日本

ゲートウェイの制約

現在、ワークスペース ゲートウェイには次の制約が適用されます。

  • ワークスペース ゲートウェイは、API Management インスタンスのプライマリ Azure リージョンと同じリージョンにあり、同じサブスクリプションにある必要があります。
  • ゲートウェイは 1 つのワークスペースにのみ関連付けることができます
  • ワークスペースをセルフホステッド ゲートウェイに関連付けることはできません
  • ワークスペース ゲートウェイは受信プライベート エンドポイントをサポートしていません
  • ワークスペース ゲートウェイの API にカスタム ホスト名を割り当てることはできません
  • ワークスペース内の API は Defender for API の対象ではありません
  • ワークスペース ゲートウェイは、API Management サービスの資格情報マネージャーをサポートしていません
  • ワークスペース ゲートウェイは内部キャッシュのみをサポートします。外部キャッシュはサポートされていません
  • ワークスペース ゲートウェイは、合成 GraphQL API と WebSocket API をサポートしていません
  • ワークスペース ゲートウェイは、Azure OpenAI Service、App Service、Function Apps などの Azure リソースからの直接的な API の作成をサポートしていません
  • 要求メトリックを Azure Monitor のワークスペースで分割することはできません。すべてのワークスペース メトリックはサービス レベルで集計されます
  • Azure Monitor ログはサービス レベルで集計されます。ワークスペース レベルのログは使用できません
  • ワークスペース ゲートウェイは CA 証明書をサポートしていません
  • ワークスペース ゲートウェイは自動スケールをサポートしていません
  • ワークスペース ゲートウェイでは、Azure Key Vault へのシークレットの格納や authentication-managed-identity ポリシーの使用などの関連機能など、マネージド ID はサポートされていません

ワークスペースの RBAC ロール

Azure RBAC は、ワークスペース内のエンティティの読み取りと編集を行うワークスペース コラボレーターのアクセス許可を構成するために使用されます。 ロールの一覧については、API Management でロールベースのアクセス制御を使用する方法について説明するページを参照してください。

ワークスペース内の API やその他のリソースを管理するには、ワークスペース メンバーに、API Management サービス、ワークスペース、ワークスペース ゲートウェイを範囲指定にしたロール (またはカスタム ロールを使用した同等のアクセス許可) を割り当てる必要があります。 サービス スコープのロールを使用すると、ワークスペースレベルのリソースから特定のサービスレベルのリソースを参照できます。 たとえば、API と製品の可視性を制御するために、ユーザーをワークスペースレベルのグループに整理します。

Note

Microsoft Entra グループを設定すると、ワークスペースへのアクセス許可を複数のユーザーに割り当てることができ、管理を容易にすることができます。

ワークスペースとその他の API Management 機能

ワークスペースは、管理アクセスと API ランタイムの分離を最大化するために自己完結型に設計されています。 生産性を高め、プラットフォーム全体のガバナンス、監視、再利用性、API 検出を可能にする例外がいくつかあります。

  • リソース参照 - ワークスペース内のリソースは、ワークスペース内の他のリソースと、サービス レベルから選択したリソース (ユーザー、承認サーバー、組み込みユーザー グループなど) を参照できます。 別のワークスペースからリソースを参照することはできません。

    セキュリティ上の理由から、ワークスペース レベルのポリシー (名前付き値など) やリソース名 (set-backend-service ポリシーなど backend-id) からサービス レベルのリソースを参照することはできません。

    重要

    API Management サービス内のすべてのリソース (API、製品、タグ、サブスクリプションなど) は、異なるワークスペースに配置されている場合でも、一意の名前を持つ必要があります。 同じ種類のリソースと同じ Azure リソース名を持つリソースは、同じワークスペース、他のワークスペース、またはサービス レベルに存在することはできません。

  • 開発者ポータル - ワークスペースは管理上の概念であり、開発者ポータル UI や基盤となる API を含め、開発者ポータル コンシューマーには表示されません。 ワークスペース内の API と製品は、サービス レベルの API や製品と同様に、開発者ポータルに公開できます。

    Note

    API Management では、サービス レベルで定義されている承認サーバーをワークスペース内の API に割り当てることができます。

プレビュー ワークスペースから移行する

Azure API Management でプレビュー ワークスペースを作成し、それらを引き続き使用する場合は、ワークスペース ゲートウェイを各ワークスペースに関連付けることで、ワークスペースを一般提供バージョンに移行します。

プレビュー ワークスペースに影響する可能性があるその他の変更の詳細については、「ワークスペースの重大な変更 (2025 年 3 月)」を参照してください。

ワークスペースの削除

Azure portal インターフェイスを使用してワークスペースを削除する場合、ワークスペースを削除すると、その子リソース (API、製品など) とそれに関連付けられているゲートウェイがすべて削除されます。 API Management インスタンスやその他のワークスペースは削除されません。