Advanced API Security アドオンを管理する

このページの内容は Apigee に適用されます。Apigee ハイブリッドには適用されません。

Apigee Edge のドキュメントを表示します。

Advanced API Security は、悪意のあるクライアントからの攻撃や不正使用などのセキュリティ上の脅威から API を保護するために、API を継続的にモニタリングします。API トラフィックを分析して不審な API リクエストを特定する機能があり、そのようなリクエストに対するセキュリティ対策(ブロックする、フラグを付ける、など)を設定できるツールを備えています。さらに、API 構成がセキュリティ基準を満たしているかどうかを評価し、必要に応じてそれらを改善するための推奨事項を提供します。

Apigee 従量課金制をご利用の場合、Advanced API Security は有料アドオンとして使用できます。このトピックでは、対象となる従量課金制環境で Advanced API Security アドオンを有効にして管理する方法について説明します。Apigee 環境でこのアドオンを有効にした後に Advanced API Security を使用する方法については、Advanced API Security の概要をご覧ください。

対象

Advanced API Security は、Apigee の実装に含まれる Apigee 環境ごとに管理される有料のアドオン機能として提供されています。このアドオンは、Apigee の中間環境または包括的環境で有効にできます。基本環境で Advanced API Security を有効にして使用することはできません。Apigee 環境の機能の詳細については、環境タイプの比較をご覧ください。

必要なロールと権限

Advanced API Security アドオンの管理に必要な権限を取得するには、プロジェクトの Apigee 環境管理者 IAM ロール(apigee.environment.admin)の付与を管理者に依頼してください。ロールの付与の詳細については、アクセス権の管理に関する記事をご覧ください。

この事前定義ロールには、Advanced API Security アドオンの管理に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

必要な権限

Advanced API Security アドオンを管理するには、次の権限が必要です。

  • apigee.addonsconfig.get
  • apigee.addonsconfig.update

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

アドオンを有効にした後、Advanced API Security を使用してタスクを実行するために追加のロールが必要になる場合があります。 詳細については、必要なロールをご覧ください。

Advanced API Security アドオンを有効にする

Apigee の中間環境または包括的環境で Advanced API Security アドオンを有効にするには、以下のセクションで説明するように、Google Cloud コンソールの Apigee UI または API を使用します。

Google Cloud コンソールの Apigee

Google Cloud コンソールで Advanced API Security アドオンを有効にするには:

  1. コンソールで [Apigee] ページを開きます。

    [Apigee] に移動

  2. 従量課金制の組織と環境を管理するプロジェクトを選択します。
  3. [アドオン] > [Advanced API Security] を選択して、[Advanced API Security add-on] ページを開きます。
  4. [Manage Advanced API Security add-on] ペインで、アドオンを有効にする環境(複数も可)のチェックボックスをオンにします。
  5. [選択項目を有効化] をクリックします。
  6. 選択した環境の有効化が完了すると、環境の [ステータス] に 有効)と表示されます。
  7. [Advanced API Security] を選択して、セキュリティ データを使用するためのページ オプション([リスク評価]、[不正行為の検出]、[セキュリティ レポート]、[セキュリティ対策] など)を表示します。Advanced API Security データが表示されるまでに 10 分ほどかかる場合があります。

Apigee API

Apigee API を使用して Advanced API Security アドオンを有効にするには、次のコマンドを入力します。

curl -X POST \
  https://apigee.googleapis.com/v1/organizations/ORG_NAME/environments/ENV_NAME/addonsConfig:setAddonEnablement \
      -H "Authorization: Bearer $token" \
      -H "Content-type: application/json" \
      -d '{"api_security_enabled":true}'

ここで

  • ORG_NAME は、Advanced API Security を対象の環境に追加する Apigee 従量課金制組織の名前です。
  • ENV_NAME は、Advanced API Security アドオンを有効にする Apigee 環境の名前です。

有効化が完了したら、[Advanced API Security] をクリックして、セキュリティ データを使用するためのページ オプション([リスク評価]、[不正行為の検出]、[セキュリティ レポート]、[セキュリティ対策] など)を表示します。Advanced API Security データが UI に表示されるか、API 呼び出しを介して使用できるようになるまでに、10 分ほどかかる場合があります。

Advanced API Security アドオンの有効化処理には 15 分ほどかかる場合があります。有効になった後、その環境のセキュリティ データは 14 か月間保持されます。アドオンが有効になっている限り、コンソールの [Advanced API Security] ページから環境の過去のデータにアクセスできます。

Advanced API Security アドオンの使用に対する課金は、アドオンの有効化が開始されると始まります。

Advanced API Security アドオンを無効にする

Apigee の中間環境または包括的環境で Advanced API Security アドオンを無効にするには、以下のセクションで説明するように、Google Cloud コンソールの Apigee UI または API を使用します。

Cloud コンソールの Apigee

Google Cloud コンソールで Advanced API Security アドオンを無効にするには:

  1. コンソールで [Apigee] ページを開きます。

    [Apigee] に移動

  2. 従量課金制の組織と環境を管理するプロジェクトを選択します。
  3. [アドオン] > [Advanced API Security] を選択して、[Advanced API Security add-on] ページを開きます。
  4. [Manage Advanced API Security add-on] ペインで、アドオンを無効にする環境(複数も可)のチェックボックスをオンにします。
  5. [選択項目を無効化] をクリックします。
  6. 無効化が完了すると、各環境の [ステータス] に 無効)と表示されます。

Apigee API

Apigee API を使用して Advanced API Security アドオンを無効にするには、次のコマンドを入力します。

curl -X POST \
  https://apigee.googleapis.com/v1/organizations/ORG_NAME/environments/ENV_NAME/addonsConfig:setAddonEnablement \
      -H "Authorization: Bearer $token" \
      -H "Content-type: application/json" \
      -d '{"api_security_enabled":false}'

ここで

  • ORG_NAME は、対象となる環境で Advanced API Security を無効にする Apigee 従量課金制組織の名前です。
  • ENV_NAME は、Advanced API Security アドオンを無効にする Apigee 環境の名前です。

環境の Advanced API Security アドオンのステータスを表示する

Apigee の中間環境または包括的環境の Advanced API Security アドオンのステータスを確認するには、以下のセクションで説明するように、Google Cloud コンソールの Apigee UI または API を使用します。

Google Cloud コンソールの Apigee

Google Cloud コンソールを使用して環境の Advanced API Security アドオンのステータスを表示するには:

  1. コンソールで [Apigee] ページを開きます。

    [Apigee] に移動

  2. 従量課金制の組織と環境を管理するプロジェクトを選択します。
  3. [アドオン] > [Advanced API Security] を選択して、[Advanced API Security add-on] ページを開きます。
  4. [Manage Advanced API Security add-on] ペインに環境のリストが表示されます。
  5. ステータス列で、各中間環境または包括的環境のアドオンが有効無効かを確認できます。基本環境については、どちらのステータスも表示されません。

Apigee API

Apigee API を使用して特定の環境の Advanced API Security アドオンのステータスを表示するには、次のコマンドを入力します。

curl -X GET \
  https://apigee.googleapis.com/v1/organizations/ORG_NAME/environments/ENV_NAME/addonsConfig \
      -H "Authorization: Bearer $token" \
      -H "Content-type: application/json" 

ここで

  • ORG_NAME は Apigee 従量課金制組織の名前です。
  • ENV_NAME は Apigee 環境の名前です。

アドオンの現在のステータスを表す ApiSecurityConfig オブジェクトがレスポンスとして返されます。

Advanced API Security データを管理する

ある環境で Advanced API Security アドオンを有効にすると、その環境のセキュリティ データは 14 か月間保持されます。その環境で以前に生成されたセキュリティ レポートにはコンソールの [セキュリティ レポート] ページからアクセスできますが、新しいレポートは作成できません。

ある環境で Advanced API Security アドオンを無効にすると、その環境のセキュリティ データは 30 日後に削除されます。アドオンを無効にしてから 30 日以内に同じ環境で再度アドオンを有効にすると、その環境の 14 か月間の保持期間中のセキュリティ データに再びアクセスできるようになります。30 日が経過した後にその環境でアドオンを再び有効にした場合、データは復元されません。

14 か月の保持期間を超えて環境のセキュリティ レポートを保持する場合は、データをエクスポートして別の場所に保存することをおすすめします。Advanced API Security データのエクスポートは、アドオンを無効にする前、または無効にしてから 30 日以内に行うことができます。セキュリティ レポートは、コンソールの [セキュリティ レポート] ページにある [エクスポート] ボタンを使用してエクスポートできます。また、Security Reports API を使用してレポートをダウンロードすることもできます。