ワークスペースを使用したフェデレーション API 管理

適用対象: Premium

この記事では、API Management ワークスペースの概要と、それらが分散型 API 開発チームが共通のサービス インフラストラクチャで API を管理および製品化できるようにする方法について説明します。

組織が API 管理をフェデレーションする必要がある理由は?

現在、組織は API の拡散を管理する際の課題にますます直面しています。 API と API 開発チームの数が増えるにつれて、それらを管理する複雑さも増します。 この複雑さは、運用上のオーバーヘッド、セキュリティ リスクの増加、機敏性の低下につながる可能性があります。 一方では、組織は、API ガバナンス、セキュリティ、コンプライアンスを確保するために、一元化された API インフラストラクチャを確立したいと考えています。 同時に、API チームには、API プラットフォームを管理するオーバーヘッドなしで、イノベーションを起こし、ビジネス ニーズに迅速に対応して欲しいと考えています。

API management の フェデレーション モデルは、これらのニーズに対応します。 フェデレーション API 管理を使用すると、API プラットフォーム チームによって管理される一元的なガバナンス、監視、および API 検出を維持しながら、制御とデータ プレーンを適切に分離した開発チームによる分散型 API 管理が可能になります。 このモデルは、プラットフォーム チームによる完全に一元化された API 管理や、各開発チームによるサイロ化された API 管理などの代替のアプローチの制限事項を克服できます。

フェデレーション API 管理は、次のことを提供します:

• 一元化された API ガバナンスと監視
• 効果的な API 検出とオンボードのための統合開発者ポータル
• API チーム間で管理アクセス許可を分離し、生産性とセキュリティを強化する
• API チーム間で API ランタイムを分離し、信頼性、回復性、セキュリティを向上させる

ワークスペースがフェデレーション API 管理を有効にする方法

Azure API Management で、ワークスペースを使用してフェデレーション API 管理を実装します。 ワークスペースは、API Management サービス内の "フォルダー" のように機能します。

• 各ワークスペースには、API、製品、サブスクリプション、名前付き値、および関連リソースが含まれています。 ワークスペースでサポートされているリソースと操作の完全な一覧については、API Management REST API リファレンスを参照してください。
• チームによるワークスペース内のリソースへのアクセスは、Microsoft Entra アカウントに割り当て可能でワークスペースにスコープされた組み込みロールまたはカスタム ロールを使用して、Azure のロールベースのアクセス制御 (RBAC) によって管理されます。
• 各ワークスペースは、ワークスペース内の API のバックエンド サービスに API トラフィックをルーティングするために 1 つ以上のワークスペース ゲートウェイに関連付けられています。
• プラットフォーム チームは、開発者ポータルで、ワークスペース内の API にまたがる API ポリシーを適用し、すべてのワークスペースのログを表示してプラットフォームを監視し、一元化された API 検出エクスペリエンスを実装できます。

ワークスペースは API Management サービスやその他のワークスペースとは独立して管理されますが、設計上、選択したサービス レベルのリソースを参照できます。 この記事の後半の「ワークスペースとその他の API Management 機能」を参照してください。

シナリオ例の概要

Azure API Management を使用して API を管理する組織には、さまざまな API セットの開発、定義、保守、製品化を行う複数の開発チームが存在する場合があります。 これらのチームはワークスペースによって、API Management を使用して、サービス インフラストラクチャの管理とは別に、個別に API の管理、アクセス、セキュリティ保護を行うことができます。

ワークスペースを作成して使用するワークフローの例を次に示します。

1. API Management インスタンスを管理する中央 API プラットフォーム チームは、ワークスペースを作成し、RBAC ロール (ワークスペース内のリソースを作成または読み取るためのアクセス許可など) を使用してワークスペース コラボレーターにアクセス許可を割り当てます。 ワークスペースにスコープされた API ゲートウェイもワークスペース用に作成されます。

2. 中央 API プラットフォーム チームは、DevOps ツールを使用して、そのワークスペースに API 用の DevOps パイプラインを作成します。

3. ワークスペース メンバーは、ワークスペース内の API の開発、発行、製品化、保守を行います。

4. 中央 API プラットフォーム チームは、監視、回復性、すべての API ポリシーの適用など、サービスのインフラストラクチャを管理します。

ワークスペース ゲートウェイ

各ワークスペースは 1 つ以上のワークスペース ゲートウェイに関連付けられ、ワークスペース内で管理されている API のランタイムを有効にすることができます。 ワークスペース ゲートウェイは、API Management サービスに組み込まれているゲートウェイと同じコア機能を備えたスタンドアロンの Azure リソースです。

ワークスペース ゲートウェイは、API Management サービスと互いに独立して管理されます。 これにより、ワークスペース間またはユース ケース間のランタイムを分離し、API の信頼性、回復性、セキュリティを向上させ、ランタイム問題をワークスペースに帰属させることができます。

• ワークスペース ゲートウェイのコストについては、「API Management の価格」を参照してください。
• API Management ゲートウェイの詳細な比較については、「API Management ゲートウェイの概要」を参照してください。

ゲートウェイ ホスト名

ワークスペースをワークスペース ゲートウェイに関連付けるたびに、そのワークスペースで管理されている API の一意のホスト名が作成されます。 既定のホスト名は、パターン <workspace-name>-<hash>.gateway.<region>.azure-api.net に従います。 現在、カスタム ホスト名はワークスペース ゲートウェイではサポートされていません。

ネットワークの分離

必要に応じて、プライベート仮想ネットワークでワークスペース ゲートウェイを構成して、受信トラフィックまたは送信トラフィックを分離できます。 ワークスペース ゲートウェイが構成されている場合、ゲートウェイは仮想ネットワーク内の専用サブネットを使用する必要があります。

詳細な要件については、「ワークスペース ゲートウェイのネットワーク リソース要件」を参照してください。

容量のスケーリング

特定のサービス レベルの API Management インスタンスに追加できるユニットと同様に、スケール ユニットを手動で追加または削除して、ゲートウェイ容量を管理します。 ワークスペース ゲートウェイのコストは、選択したユニット数に基づいています。

リージョン別の提供状況

ワークスペース ゲートウェイが使用可能なリージョンの最新の一覧については、「v2 レベルとワークスペース ゲートウェイの提供状況」を参照してください。

ゲートウェイの制約

現在、ワークスペース ゲートウェイには次の制約が適用されます。

• ワークスペース ゲートウェイは、API Management インスタンスのプライマリ Azure リージョンと同じリージョンにあり、同じサブスクリプションにある必要があります。
• ワークスペースをセルフホステッド ゲートウェイに関連付けることはできません
• ワークスペース ゲートウェイは受信プライベート エンドポイントをサポートしていません
• ワークスペース ゲートウェイの API にカスタム ホスト名を割り当てることはできません
• ワークスペース内の API は Defender for API の対象ではありません
• ワークスペース ゲートウェイは、API Management サービスの資格情報マネージャーをサポートしていません
• ワークスペース ゲートウェイは内部キャッシュのみをサポートします。外部キャッシュはサポートされていません
• ワークスペース ゲートウェイは、合成 GraphQL API と WebSocket API をサポートしていません
• ワークスペース ゲートウェイは、Azure OpenAI Service、App Service、Function Apps などの Azure リソースからの直接的な API の作成をサポートしていません
• 要求メトリックを Azure Monitor のワークスペースで分割することはできません。すべてのワークスペース メトリックはサービス レベルで集計されます
• Azure Monitor ログはサービス レベルで集計されます。ワークスペース レベルのログは使用できません
• ワークスペース ゲートウェイは CA 証明書をサポートしていません
• ワークスペース ゲートウェイは自動スケールをサポートしていません
• ワークスペース ゲートウェイでは、Azure Key Vault へのシークレットの格納や authentication-managed-identity ポリシーの使用などの関連機能など、マネージド ID はサポートされていません

ワークスペースの RBAC ロール

Azure RBAC は、ワークスペース内のエンティティの読み取りと編集を行うワークスペース コラボレーターのアクセス許可を構成するために使用されます。 ロールの一覧については、API Management でロールベースのアクセス制御を使用する方法について説明するページを参照してください。

ワークスペース内の API やその他のリソースを管理するには、ワークスペース メンバーに、API Management サービス、ワークスペース、ワークスペース ゲートウェイを範囲指定にしたロール (またはカスタム ロールを使用した同等のアクセス許可) を割り当てる必要があります。 サービス スコープのロールを使用すると、ワークスペースレベルのリソースから特定のサービスレベルのリソースを参照できます。 たとえば、API と製品の可視性を制御するために、ユーザーをワークスペースレベルのグループに整理します。

ワークスペースとその他の API Management 機能

ワークスペースは、管理アクセスと API ランタイムの分離を最大化するために自己完結型に設計されています。 生産性を高め、プラットフォーム全体のガバナンス、監視、再利用性、API 検出を可能にする例外がいくつかあります。

• リソース参照 - ワークスペース内のリソースは、ワークスペース内の他のリソースと、サービス レベルから選択したリソース (ユーザー、承認サーバー、組み込みユーザー グループなど) を参照できます。 別のワークスペースからリソースを参照することはできません。

  セキュリティ上の理由から、ワークスペース レベルのポリシー (名前付き値など) やリソース名 (set-backend-service ポリシーなど backend-id) からサービス レベルのリソースを参照することはできません。

  重要

  API Management サービス内のすべてのリソース (API、製品、タグ、サブスクリプションなど) は、異なるワークスペースに配置されている場合でも、一意の名前を持つ必要があります。 同じ種類のリソースと同じ Azure リソース名を持つリソースは、同じワークスペース、他のワークスペース、またはサービス レベルに存在することはできません。

• 開発者ポータル - ワークスペースは管理上の概念であり、開発者ポータル UI や基盤となる API を含め、開発者ポータル コンシューマーには表示されません。 ワークスペース内の API と製品は、サービス レベルの API や製品と同様に、開発者ポータルに公開できます。

  Note

  API Management では、サービス レベルで定義されている承認サーバーをワークスペース内の API に割り当てることができます。

プレビュー ワークスペースから移行する

Azure API Management でプレビュー ワークスペースを作成し、それらを引き続き使用する場合は、ワークスペース ゲートウェイを各ワークスペースに関連付けることで、ワークスペースを一般提供バージョンに移行します。

プレビュー ワークスペースに影響する可能性があるその他の変更の詳細については、「ワークスペースの重大な変更 (2025 年 3 月)」を参照してください。

ワークスペースの削除

Azure portal インターフェイスを使用してワークスペースを削除する場合、ワークスペースを削除すると、その子リソース (API、製品など) とそれに関連付けられているゲートウェイがすべて削除されます。 API Management インスタンスやその他のワークスペースは削除されません。

関連するコンテンツ

• ワークスペースを作成する
• ワークスペースの重大な変更 - 2024 年 6 月
• ワークスペースの重大な変更 - 2025 年 3 月
• 制限 - API Management ワークスペース