API Management es la fachada de las APIs: autenticación, rate limiting, transformación y versionado, todo sin tocar los backends. El AZ-305 también espera que lo distingas de App Gateway y Front Door — y que sepas cuándo el problema se resuelve con Logic Apps.
Contenido
APIM tiene tres componentes: el gateway (el proxy por donde pasa todo request), el management plane (configurar APIs y políticas) y el developer portal (documentación auto-generada, self-service de suscripciones y pruebas para consumidores).
Qué resuelve
Conceptos del modelo
| Política | Hace | Señal en el examen |
|---|---|---|
| rate-limit / rate-limit-by-key | Limita llamadas por periodo (por suscripción o clave custom como IP) | "Limitar a 100 llamadas por minuto por cliente" |
| quota | Límite de volumen a largo plazo (mes) | "Máximo 10,000 llamadas al mes por plan" |
| validate-jwt | Valida tokens de Entra ID/OAuth antes de pasar al backend | "Solo usuarios autenticados con Entra ID llaman la API" |
| cache-lookup / cache-store | Cachea respuestas en el gateway | "Reducir carga del backend para respuestas idénticas" |
| set-header / rewrite-uri | Transforma requests/responses | "Adaptar clientes legacy al backend nuevo" |
| ip-filter | Permite/bloquea rangos de IP | "Solo IPs del partner" |
| retry / circuit logic | Resiliencia hacia backends | "Tolerar fallos transitorios del backend" |
Las políticas se aplican en 4 fases (inbound → backend → outbound → on-error) y en 4 ámbitos (global → product → API → operación), heredándose hacia abajo.
| Tier | Clave |
|---|---|
| Consumption | Serverless, pago por llamada, sin VNet — APIs ligeras y variables |
| Basic/Standard (+v2) | Producción general; v2 con private endpoints/VNet integration |
| Premium | VNet injection (interno/externo), multi-región activo-activo, zonas, self-hosted gateway — la respuesta a "gateway EN la VNet" o "APIs en varias regiones" |
Topología típica de examen
APIM Premium en modo internal (solo IP privada en la VNet) + Application Gateway con WAF delante como punto de entrada público. APIs internas quedan privadas; las públicas se exponen filtradas por el WAF.
| Servicio | Es | NO es |
|---|---|---|
| API Management | Gobierno de APIs: auth, quotas, versionado, portal, transformación | Un balanceador de carga ni un WAF |
| Application Gateway | Load balancer L7 REGIONAL con WAF, TLS termination, path routing | No gestiona ciclo de vida de APIs ni cuotas por consumidor |
| Front Door | Entrada GLOBAL: anycast, CDN, WAF, failover multi-región | No reemplaza APIM (sin quotas/portal) ni balancea dentro de una VNet |
Se COMBINAN: Front Door (global) → App Gateway/WAF (regional) → APIM (gobierno) → backends. La pregunta del examen suele pedir identificar qué capa aporta qué.
Cuándo Logic Apps
Logic Apps vs Functions vs Durable Functions
| Requisito | Diseño |
|---|---|
| Rate limiting distinto por plan de cliente | APIM products + rate-limit/quota |
| Validar tokens Entra ID antes del backend | APIM validate-jwt |
| Exponer SOAP legacy como REST moderna | APIM transformación |
| Portal de documentación self-service para partners | APIM developer portal |
| Gateway de APIs corriendo on-premises, gestión central | APIM self-hosted gateway |
| APIM accesible solo en la VNet + entrada pública con WAF | APIM Premium internal + App Gateway WAF |
| APIs activas en 3 regiones con un solo plano de gestión | APIM Premium multi-región |
| Flujo: pedido → aprobación → SAP → email, sin código | Logic Apps |
| Fan-out/fan-in de 1000 tareas en código | Durable Functions |
¿Entendiste este tema?
Pon a prueba lo que acabas de aprender
Una empresa expone 40 microservicios (AKS y Functions) a partners externos. Requisitos: (1) cada partner tiene límites de llamadas según su plan contratado, (2) los partners deben poder explorar la documentación y probar las APIs por sí mismos, (3) los tokens JWT de Entra ID deben validarse antes de llegar a los backends. ¿Qué servicio centraliza los tres requisitos?
Inicia sesión para llevar tu progreso.