Diese Seite gilt für Apigee und Apigee Hybrid.
Apigee Edge-Dokumentation aufrufen
Auf dieser Seite wird beschrieben, wie Sie die erweiterte API-Sicherheit für Organisationen mit Abo und „Pay as you go“-Organisationen verwenden.
Erforderliche Rollen und Berechtigungen
In den folgenden Abschnitten werden die erforderlichen Rollen und Berechtigungen zum Ausführen von Aufgaben mit Advanced API Security beschrieben.
Erforderliche Rollen für Sicherheitsberichte
In der folgenden Tabelle sind die erforderlichen Rollen für Aufgaben im Zusammenhang mit Sicherheitsberichten aufgeführt.
| Sicherheitsberichte – Aufgabe | Erforderliche Rollen |
|---|---|
| Erweiterte API-Sicherheit aktivieren oder deaktivieren | Apigee-Organisationsadministrator (roles/apigee.admin) |
| Berichte erstellen | Apigee-Organisationsadministrator (roles/apigee.admin)Apigee-Sicherheitsadministrator ( roles/apigee.securityAdmin) |
| Berichte ansehen | Apigee-Sicherheitsbetrachter (roles/apigee.securityViewer)Apigee-Sicherheitsadministrator ( roles/apigee.securityAdmin) |
Erforderliche Rollen für die Risikobewertung
In der folgenden Tabelle sind die erforderlichen Rollen für Aufgaben im Zusammenhang mit der Risikobewertung aufgeführt.
| Risikobewertungsaufgabe | Erforderliche Rollen |
|---|---|
| Benutzerdefiniertes Sicherheitsprofil erstellen, aktualisieren oder löschen | Apigee-Sicherheitsadministrator (roles/apigee.securityAdmin)Apigee-Organisationsadministrator ( roles/apigee.admin) |
| Sicherheitsprofil anhängen oder trennen | Apigee-Sicherheitsadministrator (roles/apigee.securityAdmin)Apigee-Organisationsadministrator ( roles/apigee.admin) |
| Sicherheitspunktzahlen ansehen | Apigee-Sicherheitsadministrator (roles/apigee.securityAdmin)Apigee-Sicherheitsbetrachter ( roles/apigee.securityViewer)Apigee-Organisationsadministrator ( roles/apigee.admin) |
| Alle Sicherheitsprofile auflisten oder Profil abrufen | Apigee-Sicherheitsadministrator (roles/apigee.securityAdmin)Apigee-Sicherheitsbetrachter ( roles/apigee.securityViewer)Apigee-Organisationsadministrator ( roles/apigee.admin) |
| Bedingung für die Sicherheitsüberwachung erstellen, aktualisieren oder löschen | Apigee-Sicherheitsadministrator (roles/apigee.securityAdmin)Apigee-Organisationsadministrator ( roles/apigee.admin) |
| Bedingungen für die Sicherheitsüberwachung auflisten und ansehen | Apigee-Sicherheitsadministrator (roles/apigee.securityAdmin)Apigee-Sicherheitsbetrachter ( roles/apigee.securityViewer)Apigee-Organisationsadministrator ( roles/apigee.admin) |
| Messwerte für Sicherheitsüberwachungsbedingungen auflisten und ansehen |
Monitoring-Administrator (roles/monitoring.admin)Monitoring-Bearbeiter ( roles/monitoring.editor)
|
| Monitoring-Benachrichtigungen erstellen, aktualisieren oder löschen | Weitere Informationen finden Sie unter Erforderliche Rollen (für Sicherheitswarnungen). |
| Monitoring-Benachrichtigungen ansehen | Weitere Informationen finden Sie unter Vorfälle für messwertbasierte Benachrichtigungsrichtlinien: Vorbereitung. |
Erforderliche Rollen und Berechtigungen für die Missbrauchserkennung
In der folgenden Tabelle sind die erforderlichen Rollen und Berechtigungen für Aufgaben im Zusammenhang mit der Missbrauchserkennung aufgeführt.
| Aufgabe zur Missbrauchserkennung | Erforderliche Rollen und Berechtigungen |
|---|---|
| Vorfälle in der Benutzeroberfläche zur Missbrauchserkennung ansehen | Apigee-Sicherheitsadministrator (roles/apigee.securityAdmin)Apigee-Sicherheitsbetrachter ( roles/apigee.securityViewer)Apigee-Organisationsadministrator ( roles/apigee.admin) |
| Generative AI Insights für Vorfall ansehen | cloudaicompanion.instances.generateText-Berechtigung |
| Organisation für ML-Modelle zur Missbrauchserkennung aktivieren oder deaktivieren | apigee.securitySettings.update-BerechtigungApigee-Sicherheitsadministrator ( roles/apigee.securityAdmin)Apigee-Organisationsadministrator ( roles/apigee.admin)
|
Erforderliche Rollen für Sicherheitsaktionen
In der folgenden Tabelle sind die erforderlichen Rollen für Aufgaben im Zusammenhang mit Sicherheitsaktionen aufgeführt.
| Sicherheitsaktion – Aufgabe | Erforderliche Rollen |
|---|---|
| Konfigurationen für Sicherheitsaktionen erstellen, bearbeiten oder löschen | Apigee-Sicherheitsadministrator (roles/apigee.securityAdmin)Apigee-Organisationsadministrator ( roles/apigee.admin) |
| Sicherheitsaktionen ansehen oder auflisten | Apigee-Sicherheitsadministrator (roles/apigee.securityAdmin)Apigee-Sicherheitsbetrachter ( roles/apigee.securityViewer)Apigee-Organisationsadministrator ( roles/apigee.admin) |
| Status der Erzwingung prüfen | Apigee-Sicherheitsadministrator (roles/apigee.securityAdmin)Apigee-Sicherheitsbetrachter ( roles/apigee.securityViewer)Apigee-Organisationsadministrator ( roles/apigee.admin) |
Erweiterte API-Sicherheit für Abo-Organisationen verwalten
Wenn Sie Advanced API Security als Abo-Kunde verwenden möchten, muss Advanced API Security Teil Ihrer Abo-Berechtigungen sein. Weitere Informationen finden Sie unter Apigee-Berechtigungen. Wenn Sie die erweiterte API-Sicherheit zu Ihren Berechtigungen hinzufügen möchten, wenden Sie sich an das Apigee-Vertriebsteam.
Sobald die erweiterte API-Sicherheit Teil Ihrer Berechtigungen ist, können Sie sie in Ihrer Organisation aktivieren:
- Konfiguration von Apigee-Add-ons abrufen
- Erweiterte API-Sicherheit für Abo-Organisationen aktivieren
Wenn Sie sich nicht sicher sind, ob Sie ein Abo oder eine „Pay as you go“-Apigee-Organisation verwenden, wenden Sie sich an den Administrator Ihrer Apigee-Organisation.
Konfiguration von Apigee-Add-ons abrufen
Um Erweiterte API-Sicherheit für Ihre Abo-Organisation zu aktivieren, müssen Sie zuerst Ihre aktuelle Apigee-Add-on-Konfiguration mithilfe des folgenden API-Aufrufs abrufen. Außerdem erfahren Sie, ob die erweiterte API-Sicherheit bereits aktiviert ist.
curl "https://apigee.googleapis.com/v1/organizations/ORG" \ -X GET \ -H "Content-type: application/json" \ -H "Authorization: Bearer $TOKEN"
Dabei gilt:
- ORG ist der Name Ihrer Organisation.
$TOKENist die Umgebungsvariable für ein OAuth-Zugriffstoken.
Dieser Aufruf gibt grundlegende Informationen zu Ihrer Organisation zurück, einschließlich eines Abschnitts für Ihre Apigee-Add-on-Konfiguration, der mit der folgenden Zeile beginnt:
"addonsConfig": {Prüfen Sie, ob dieser Abschnitt den folgenden Eintrag enthält:
"apiSecurityConfig": {
"enabled": true
}Wenn ja, ist die erweiterte API-Sicherheit bereits in der Organisation aktiviert. Andernfalls müssen Sie sie wie unten beschrieben aktivieren.
Erweiterte API-Sicherheit für Abo-Organisationen aktivieren
Zum Aktivieren der erweiterten API-Sicherheit in einer Abo-Organisation mit der Standardkonfiguration senden Sie eine POST-Anfrage, wie unten gezeigt.
curl "https://apigee.googleapis.com/v1/organizations/ORG:setAddons" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-type: application/json" \
-d '{
"addonsConfig": {
"apiSecurityConfig": {
"enabled": true
}
<Other entries of your current add-ons configuration>
}
}'Wobei Folgendes gilt:
- ORG ist der Name Ihrer Organisation.
$TOKENist die Umgebungsvariable für ein OAuth-Zugriffstoken.<Other entries of your current add-ons configuration>besteht aus allen anderen Einträgen Ihrer aktuellen Apigee-Add-on-Konfiguration.
Wenn die aktuelle Add-on-Konfiguration beispielsweise
"addonsConfig": {
"integrationConfig": {
"enabled":true
},
"monetizationConfig": {
"enabled":true
}
},ist, wäre der Befehl zur Aktivierung der erweiterten API-Sicherheit
curl "https://apigee.googleapis.com/v1/organizations/ORG:setAddons" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-type: application/json" \
-d '{
"addonsConfig": {
"apiSecurityConfig": {
"enabled": true
},
"integrationConfig": {
"enabled": true
},
"monetizationConfig": {
"enabled": true
}
}
}'Nachdem Sie die Anfrage gesendet haben, wird eine Antwort wie diese angezeigt:
{
"name": "organizations/apigee-docs-d/operations/0718a945-76e0-4393-a456-f9929603b32c",
"metadata": {
"@type": "type.googleapis.com/google.cloud.apigee.v1.OperationMetadata",
"operationType": "UPDATE",
"targetResourceName": "organizations/apigee-docs-d",
"state": "IN_PROGRESS"
}
}Erweiterte API-Sicherheit für Abo-Organisationen deaktivieren
Wenn Sie die erweiterte API-Sicherheit für Ihre Abo-Organisation deaktivieren müssen, können Sie dazu eine POST-Anfrage senden und die Add-on-Konfiguration im Anfragetext übergeben, wie unten gezeigt.
curl "https://apigee.googleapis.com/v1/organizations/$ORG:setAddons" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-type: application/json" \
-d '{
"addonsConfig": {
"apiSecurityConfig": {
"enabled": false
}
<Include current add-ons configuration>
}
}'Das folgende Beispiel enthält eine Antwort, die zeigt, dass der Vorgang läuft:
{
"name": "organizations/$ORG/operations/06274ffb-8940-41da-836d-781cba190437",
"metadata": {
"@type": "type.googleapis.com/google.cloud.apigee.v1.OperationMetadata",
"operationType": "UPDATE",
"targetResourceName": "organizations/$ORG",
"state": "IN_PROGRESS"
}
}Weitere Informationen finden Sie unter Organization Add-ons API konfigurieren.
Erweiterte API-Sicherheit für „Pay as you go“-Organisationen verwalten
Wenn Sie „Pay as you go“-Kunde sind, können Sie Erweiterte API-Sicherheit von Apigee als kostenpflichtiges Add-on aktivieren. Weitere Informationen zum Aktivieren des Add-ons Erweiterte API-Sicherheit für Ihre Zwischenumgebungen oder umfassenden Umgebungen von Apigee finden Sie unter Add-on Erweiterte API-Sicherheits verwalten.
Wenn Sie sich nicht sicher sind, ob Sie ein Abo oder eine „Pay as you go“-Apigee-Organisation verwenden, wenden Sie sich an den Administrator Ihrer Apigee-Organisation.
Erweiterte API-Sicherheit für Evaluierungsorganisationen verwalten
Das Add‑on „Erweiterte API‑Sicherheit“ ist automatisch in Apigee-Testorganisationen (Evaluierung) enthalten, muss aber aktiviert werden.
Folgen Sie der Anleitung unter Erweiterte API-Sicherheit für Abo-Organisationen aktivieren, um die Funktion zu aktivieren.
Wenn Sie die erweiterte API-Sicherheit deaktivieren müssen, folgen Sie der Anleitung unter Erweiterte API-Sicherheit für Abo-Organisationen deaktivieren.
Erweiterte API-Sicherheit mit Terraform konfigurieren
Apigee unterstützt die Verwendung von Terraform zur Verwaltung einiger Funktionen von Advanced API Security. Informationen zum Einrichten und Verwenden von Terraform mit Google Cloud und Apigee finden Sie unter Terraform für Google Cloud.
Mit Terraform können Sie beispielsweise Folgendes konfigurieren:
- Sicherheitsaktionen
- Sicherheitsprofile für die Risikobewertung 2
- Bedingungen für das Sicherheitsmonitoring in der Risikobewertung 2
Informationen zu den derzeit unterstützten Funktionen finden Sie im Abschnitt Apigee> in der
Terraform-Registry. Ressourcennamen für Advanced API Security beginnen mit google_apigee_security.
Nächste Schritte
Nachdem Sie die erweiterte API-Sicherheit aktiviert haben, finden Sie hier weitere Informationen:
- Sicherheitsberichte
- Risikobewertung
- Missbrauchserkennung
- Sicherheitsbenachrichtigungen
- Sicherheitsaktionen