Synchronizowanie interfejsów API z usługi Amazon API Gateway do Centrum interfejsów API platformy Azure (wersja zapoznawcza)

W tym artykule pokazano, jak zintegrować usługę Amazon API Gateway, aby interfejsy API bramy były stale aktualizowane w spisie centrum interfejsu API.

Informacje o integracji usługi Amazon API Gateway

Integracja usługi Amazon API Gateway jako źródła interfejsu API dla centrum interfejsu API umożliwia ciągłą synchronizację, dzięki czemu spis interfejsów API jest aktualny. Centrum interfejsów API platformy Azure może również synchronizować interfejsy API ze źródeł, w tym z usługi Azure API Management.

W przypadku zintegrowania bramy Amazon API Gateway jako źródła interfejsu API są wykonywane następujące czynności:

1. Interfejsy API i opcjonalnie definicje interfejsu API (specyfikacje) z bramy interfejsu API są dodawane do spisu centrum interfejsu API.
2. Środowisko typu Amazon API Gateway można skonfigurować w centrum interfejsu API.
3. Skojarzone wdrożenie jest tworzone dla każdej zsynchronizowanego definicji interfejsu API.

Synchronizacja jest jednokierunkowa z usługi Amazon API Gateway do centrum interfejsu API platformy Azure, co oznacza, że aktualizacje interfejsu API w centrum interfejsu API nie są synchronizowane z usługą Amazon API Gateway.

Uwaga

• Integracja usługi Amazon API Gateway jest obecnie dostępna w wersji zapoznawczej.
• Istnieją limity liczby zintegrowanych źródeł interfejsu API.
• Interfejsy API w usłudze Amazon API Gateway są synchronizowane z centrum interfejsu API raz na godzinę. Synchronizowane są tylko interfejsy API REST.
• Definicje interfejsu API są również synchronizowane z centrum interfejsu API, jeśli wybierzesz opcję dołączenia ich podczas integracji. Synchronizowane są tylko definicje z wdrożonych interfejsów API.

Jednostki synchronizowane z usługi Amazon API Gateway

Właściwości metadanych i dokumentację można dodawać lub aktualizować do zsynchronizowanych interfejsów API w centrum interfejsów API, aby ułatwić uczestnikom projektu odnajdywanie, zrozumienie i korzystanie z interfejsów API. Dowiedz się więcej o wbudowanych i niestandardowych właściwościach metadanych centrum interfejsu API platformy Azure.

W poniższej tabeli przedstawiono właściwości jednostki, które można zmodyfikować w Centrum interfejsu API platformy Azure i właściwości ustawione na podstawie ich wartości w źródle interfejsu API.

Encja	Właściwości konfigurowalne w Centrum interfejsu API	Właściwości określone w zintegrowanym źródle interfejsu API
interfejs API	Podsumowanie lifecycleStage termsOfService license (licencja) externalDocumentation customProperties	title opis kind
Wersja interfejsu API	lifecycleStage	title definicje (jeśli są zsynchronizowane)
Środowisko	title opis kind server.managementPortalUri onboarding customProperties	server.type
Wdrożenie	title opis serwer stan customProperties	server.runtimeUri

Uwaga

Identyfikatory zasobów i systemu dla jednostek synchronizowanych z usługą Azure API Center są generowane automatycznie i nie można ich zmieniać.

Wymagania wstępne

• Centrum interfejsu API w ramach subskrypcji platformy Azure. Jeśli go nie utworzono, zobacz Szybki start: tworzenie centrum interfejsu API.

• Magazyn kluczy platformy Azure. Jeśli musisz go utworzyć, zobacz Szybki start: tworzenie magazynu kluczy przy użyciu witryny Azure Portal. Aby dodać wpisy tajne w magazynie kluczy lub zarządzać nimi, wymagana jest co najmniej rola oficera wpisów tajnych usługi Key Vault lub równoważne uprawnienia.

• Brama interfejsu API amazon.

• Tożsamość użytkownika IAM platformy AWS z dołączonymi zasadamiAmazonAPIGatewayAdministrator.

• W przypadku interfejsu wiersza polecenia platformy Azure:

  • Użyj środowiska powłoki Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Szybki start dotyczący powłoki Bash w usłudze Azure Cloud Shell.

    

  • Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.

    • Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure.

    • Po wyświetleniu monitu zainstaluj rozszerzenie interfejsu wiersza polecenia platformy Azure podczas pierwszego użycia. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Korzystanie z rozszerzeń w interfejsie wiersza polecenia platformy Azure.

    • Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.

  Uwaga

  az apic Polecenia wymagają rozszerzenia interfejsu wiersza polecenia platformy apic-extension Azure. Jeśli nie użyto az apic poleceń, rozszerzenie można zainstalować dynamicznie po uruchomieniu pierwszego az apic polecenia lub zainstalować rozszerzenie ręcznie. Dowiedz się więcej o rozszerzeniach interfejsu wiersza polecenia platformy Azure.

  Zapoznaj się z informacjami o wersji, aby uzyskać najnowsze zmiany i aktualizacje w pliku apic-extension. Niektóre funkcje mogą wymagać wersji zapoznawczej lub określonej wersji rozszerzenia.

  Uwaga

  Przykłady poleceń interfejsu wiersza polecenia platformy Azure w tym artykule mogą być uruchamiane w programie PowerShell lub powłoce bash. W razie potrzeby ze względu na różne składnie zmiennych podano oddzielne przykłady poleceń dla dwóch powłok.

Tworzenie kluczy dostępu użytkowników IAM

Aby uwierzytelnić centrum interfejsu API w usłudze Amazon API Gateway, potrzebujesz kluczy dostępu dla użytkownika usługi AWS IAM.

Aby wygenerować wymagany identyfikator klucza dostępu i klucz tajny przy użyciu konsoli zarządzania platformy AWS, zobacz Tworzenie klucza dostępu dla siebie w dokumentacji platformy AWS.

Zapisz klucze dostępu w bezpiecznej lokalizacji. Zapiszesz je w usłudze Azure Key Vault w następnych krokach.

Uwaga

Klucze dostępu są poświadczeniami długoterminowymi i należy zarządzać nimi tak bezpiecznie, jak w przypadku hasła. Dowiedz się więcej o zabezpieczaniu kluczy dostępu

Przechowywanie kluczy dostępu użytkowników IAM w usłudze Azure Key Vault

Ręczne przekazywanie i bezpieczne przechowywanie dwóch kluczy dostępu użytkowników IAM w usłudze Azure Key Vault przy użyciu konfiguracji zalecanej w poniższej tabeli. Aby uzyskać więcej informacji, zobacz Szybki start: ustawianie i pobieranie wpisu tajnego z usługi Azure Key Vault przy użyciu witryny Azure Portal.

Wpis tajny platformy AWS	Opcje przekazywania	Nazwisko	Wartość wpisu tajnego
Klucz dostępu	Ręcznie	aws-access-key	Identyfikator klucza dostępu pobrany z platformy AWS
Klucz dostępu wpisu tajnego	Ręcznie	aws-secret-access-key	Klucz dostępu tajnego pobrany z platformy AWS

Zanotuj identyfikator wpisu tajnego każdego wpisu tajnego, identyfikator URI podobny do https://<key-vault-name>.vault.azure.net/secrets/<secret-name>. Te identyfikatory będą używane w następnych krokach.

Włączanie tożsamości zarządzanej w centrum interfejsu API

W tym scenariuszu centrum interfejsu API używa tożsamości zarządzanej do uzyskiwania dostępu do zasobów platformy Azure. W zależności od potrzeb włącz przypisane przez system lub co najmniej jedną tożsamość zarządzaną przypisaną przez użytkownika.

W poniższych przykładach pokazano, jak włączyć tożsamość zarządzaną przypisaną przez system przy użyciu witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure. Na wysokim poziomie kroki konfiguracji są podobne dla tożsamości zarządzanej przypisanej przez użytkownika.

Portal

1. W portalu przejdź do centrum interfejsu API.
2. W menu po lewej stronie w obszarze Zabezpieczenia wybierz pozycję Tożsamości zarządzane.
3. Wybierz pozycję Przypisany system i ustaw stan na Wł.
4. Wybierz pozycję Zapisz.

Interfejs wiersza polecenia platformy Azure

Ustaw tożsamość przypisaną przez system w centrum interfejsu API przy użyciu następującego polecenia az apic update . Zastąp nazwy centrum interfejsu API i grupą zasobów:

az apic update --name <api-center-name> --resource-group <resource-group-name> --identity '{"type": "SystemAssigned"}'

Przypisywanie tożsamości zarządzanej roli użytkownika wpisów tajnych usługi Key Vault

Aby zezwolić na importowanie interfejsów API, przypisz tożsamość zarządzaną centrum interfejsu API rolę Użytkownik wpisów tajnych usługi Key Vault w magazynie kluczy platformy Azure. Możesz użyć portalu lub interfejsu wiersza polecenia platformy Azure.

Portal

1. W portalu przejdź do magazynu kluczy.
2. W menu po lewej stronie wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami)..
3. Wybierz pozycję + Dodaj przypisanie roli.
4. Na stronie Dodawanie przypisania roli ustaw następujące wartości:
   1. Na karcie Rola wybierz pozycję Użytkownik wpisów tajnych usługi Key Vault.
   2. Na karcie Członkowie w obszarze Przypisz dostęp do — wybierz pozycję Tożsamość> zarządzana+ Wybierz członków.
   3. Na stronie Wybieranie tożsamości zarządzanych wybierz tożsamość zarządzaną przypisaną przez system centrum interfejsu API, która została dodana w poprzedniej sekcji. Kliknij opcję Wybierz.
   4. Wybierz Przejrzyj + przypisz.

Interfejs wiersza polecenia platformy Azure

1. Pobierz identyfikator podmiotu zabezpieczeń tożsamości. W przypadku tożsamości przypisanej przez system użyj polecenia az apic show .

   #! /bin/bash
   apicObjID=$(az apic show --name <api-center-name> \
       --resource-group <resource-group-name> \
       --query "identity.principalId" --output tsv)
   

   # Formatted for PowerShell
   $apicObjID=$(az apic show --name <api-center-name> `
       --resource-group <resource-group-name> `
       --query "identity.principalId" --output tsv)
   

2. Pobierz identyfikator zasobu magazynu kluczy przy użyciu polecenia az keyvault show .

   #! /bin/bash
   kvID=$(az keyvault show --name <kv-name> --resource-group <resource-group-name> --query "id" --output tsv)
   

   # Formatted for PowerShell
   $kvID=$(az keyvault show --name <kv-name> --resource-group <resource-group-name> --query "id" --output tsv)
   

3. Przypisz tożsamość zarządzaną rolę Użytkownik wpisów tajnych usługi Key Vault w magazynie kluczy za pomocą polecenia az role assignment create .

   #! /bin/bash
   scope="${kvID:1}"
   
   az role assignment create \
       --role "Key Vault Secrets User" \
       --assignee-object-id $apicObjID \
       --assignee-principal-type ServicePrincipal \
       --scope $scope 
   

   # Formatted for PowerShell
   $scope=$apimID.substring(1)
   
   az role assignment create `
       --role "Key Vault Secrets User" `
       --assignee-object-id $apicObjID `
       --assignee-principal-type ServicePrincipal `
       --scope $scope 
   

Integrowanie usługi Amazon API Gateway

Uruchom polecenie az apic integration create aws (wersja zapoznawcza), aby zintegrować usługę Amazon API Gateway z centrum interfejsu API.

• Podaj nazwy grupy zasobów, centrum interfejsu API i integracji.

• Podaj identyfikatory wpisów tajnych usługi Key Vault dla klucza dostępu platformy AWS i klucza dostępu wpisu tajnego oraz region awS, w którym wdrożono usługę Amazon API Gateway.

az apic integration create aws \
    --resource-group <resource-group-name> \
    --service-name-name <api-center-name> \
    --integration-name <aws-integration-name> \
    --aws-access-key-reference <access-key-uri> \
    --aws-secret-access-key-reference <secret-access-key-uri> 
    --aws-region-name <aws-region>

---

Środowisko jest dodawane w centrum interfejsu API. Interfejsy API usługi Amazon API Gateway są importowane do spisu centrum interfejsów API.

Usuwanie integracji

Źródło interfejsu API jest zintegrowane, ale nie można usunąć zsynchronizowanych interfejsów API z centrum interfejsu API. Jeśli chcesz, możesz usunąć integrację. Po usunięciu integracji:

• Zsynchronizowane interfejsy API w spisie centrum interfejsu API są usuwane
• Środowisko i wdrożenia skojarzone ze źródłem interfejsu API są usuwane

Aby usunąć integrację przy użyciu interfejsu wiersza polecenia platformy Azure, uruchom polecenie az apic integration delete (wersja zapoznawcza). Podaj nazwy grupy zasobów, centrum interfejsu API i integracji.

az apic integration delete \
    --resource-group <resource-group-name> \
    --service-name <api-center-name> \
    --integration-name <integration-name> 

Powiązana zawartość

• Zarządzanie spisem interfejsu API za pomocą poleceń interfejsu wiersza polecenia platformy Azure
• Synchronizowanie interfejsów API z usługi API Management z centrum interfejsów API platformy Azure