本頁內容適用於 Apigee 和 Apigee Hybrid。
查看
Apigee Edge 說明文件。
本頁說明如何開始為訂閱和隨用隨付機構使用進階 API 安全防護。
必要角色和權限
以下各節說明使用 Advanced API Security 執行工作時所需的角色和權限。
安全性報告的必要角色
下表列出執行安全性報告相關工作時所需的角色。
| 安全性報告工作 | 必要角色 |
|---|---|
| 啟用或停用進階 API 安全防護 | Apigee 機構管理員 (roles/apigee.admin) |
| 可製作報表 | Apigee 機構管理員 (roles/apigee.admin)Apigee 安全性管理員 ( roles/apigee.securityAdmin) |
| 查看報表 | Apigee
Security Viewer (roles/apigee.securityViewer)Apigee Security Admin ( roles/apigee.securityAdmin) |
風險評估的必要角色
下表列出執行風險評估相關工作所需的角色。
| 風險評估工作 | 必要角色 |
|---|---|
| 建立、更新或刪除自訂安全性設定檔 | Apigee
安全性管理員 (roles/apigee.securityAdmin)Apigee 機構管理員 ( roles/apigee.admin) |
| 附加或卸離安全性設定檔 | Apigee 安全性管理員 (roles/apigee.securityAdmin)Apigee 機構管理員 ( roles/apigee.admin) |
| 查看安全性分數 | Apigee
Security Admin (roles/apigee.securityAdmin)Apigee Security Viewer ( roles/apigee.securityViewer)Apigee Organization Admin ( roles/apigee.admin) |
| 列出所有安全性設定檔或取得設定檔 | Apigee
Security Admin (roles/apigee.securityAdmin)Apigee Security Viewer ( roles/apigee.securityViewer)Apigee Organization Admin ( roles/apigee.admin) |
| 建立、更新或刪除安全性監控條件 | Apigee
安全性管理員 (roles/apigee.securityAdmin)Apigee 機構管理員 ( roles/apigee.admin) |
| 列出及查看安全監控條件 | Apigee
Security Admin (roles/apigee.securityAdmin)Apigee Security Viewer ( roles/apigee.securityViewer)Apigee Organization Admin ( roles/apigee.admin) |
| 列出及查看安全監控條件指標 |
監控管理員 (roles/monitoring.admin)監控編輯者 ( roles/monitoring.editor)
|
| 建立、更新或刪除監控快訊 | 請參閱「必要角色 (適用於安全性快訊)」一節。 |
| 查看監控快訊 | 請參閱 指標型快訊政策的事件:事前準備 |
濫用行為偵測功能所需的角色和權限
下表列出執行濫用行為偵測相關工作所需的角色和權限。
| 濫用行為偵測工作 | 必要角色與權限 |
|---|---|
| 在濫用情形偵測使用者介面中查看事件 | Apigee
Security Admin (roles/apigee.securityAdmin)Apigee Security Viewer ( roles/apigee.securityViewer)Apigee Organization Admin ( roles/apigee.admin) |
| 查看事件的生成式 AI 洞察 | cloudaicompanion.instances.generateText權限 |
| 為機構啟用或停用機器學習模型,以偵測濫用行為 | apigee.securitySettings.update 權限Apigee 安全性管理員 ( roles/apigee.securityAdmin)Apigee 機構管理員 ( roles/apigee.admin)
|
執行安全性動作的必要角色
下表列出執行安全性動作相關工作所需的角色。
| 安全動作工作 | 必要角色 |
|---|---|
| 建立、編輯或刪除安全性動作設定 | Apigee 安全性管理員 (roles/apigee.securityAdmin)Apigee 機構管理員 ( roles/apigee.admin) |
| 查看或列出安全性動作 | Apigee
Security Admin (roles/apigee.securityAdmin)Apigee Security Viewer ( roles/apigee.securityViewer)Apigee Organization Admin ( roles/apigee.admin) |
| 查看違規處置狀態 | Apigee
Security Admin (roles/apigee.securityAdmin)Apigee Security Viewer ( roles/apigee.securityViewer)Apigee Organization Admin ( roles/apigee.admin) |
管理訂閱機構的進階 API 安全性
如要以訂閱方案客戶身分使用 Advanced API Security,您必須在訂閱方案授權中加入 Advanced API Security。請參閱「Apigee 授權」。如要在授權中新增 Advanced API Security,請與 Apigee 銷售團隊聯絡。
確認您有權使用進階 API 安全防護後,請在機構中啟用這項功能:
如果您不確定自己使用的是訂閱型或即付即用型 Apigee 機構,請與 Apigee 機構管理員聯絡。
取得 Apigee 外掛程式設定
如要為訂閱機構啟用 Advanced API Security,請先使用下列 API 呼叫取得目前的 Apigee 外掛程式設定。您也可以藉此瞭解是否已啟用 Advanced API Security。
curl "https://apigee.googleapis.com/v1/organizations/ORG" \ -X GET \ -H "Content-type: application/json" \ -H "Authorization: Bearer $TOKEN"
其中
- ORG 是貴機構的名稱。
$TOKEN是 OAuth 存取權杖的環境變數。
這項呼叫會傳回機構的基本資訊,包括 Apigee 外掛程式設定的區段,開頭為以下行:
"addonsConfig": {檢查這個部分是否包含下列項目:
"apiSecurityConfig": {
"enabled": true
}如果是,表示組織已啟用進階 API 安全防護功能。否則,您需要啟用這項功能,詳情請見下節。
為訂閱機構啟用進階 API 安全性
如要在訂閱機構中啟用進階 API 安全性,並使用預設設定,請發出如下所示的 POST 要求。
curl "https://apigee.googleapis.com/v1/organizations/ORG:setAddons" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-type: application/json" \
-d '{
"addonsConfig": {
"apiSecurityConfig": {
"enabled": true
}
<Other entries of your current add-ons configuration>
}
}'其中
- ORG 是貴機構的名稱。
$TOKEN是 OAuth 存取權杖的環境變數。<Other entries of your current add-ons configuration>包含目前 Apigee 外掛程式設定的任何其他項目。
舉例來說,如果目前的外掛程式設定為
"addonsConfig": {
"integrationConfig": {
"enabled":true
},
"monetizationConfig": {
"enabled":true
}
},啟用 Advanced API Security 的指令如下:
curl "https://apigee.googleapis.com/v1/organizations/ORG:setAddons" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-type: application/json" \
-d '{
"addonsConfig": {
"apiSecurityConfig": {
"enabled": true
},
"integrationConfig": {
"enabled": true
},
"monetizationConfig": {
"enabled": true
}
}
}'傳送要求後,你會看到類似以下的回覆:
{
"name": "organizations/apigee-docs-d/operations/0718a945-76e0-4393-a456-f9929603b32c",
"metadata": {
"@type": "type.googleapis.com/google.cloud.apigee.v1.OperationMetadata",
"operationType": "UPDATE",
"targetResourceName": "organizations/apigee-docs-d",
"state": "IN_PROGRESS"
}
}為訂閱機構停用 Advanced API Security
如果基於某些原因,您需要在訂閱機構中停用進階 API 安全性,可以發出 POST 要求,並在要求主體中傳遞外掛程式設定,如下所示。
curl "https://apigee.googleapis.com/v1/organizations/$ORG:setAddons" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-type: application/json" \
-d '{
"addonsConfig": {
"apiSecurityConfig": {
"enabled": false
}
<Include current add-ons configuration>
}
}'以下是回應範例,顯示作業正在進行中:
{
"name": "organizations/$ORG/operations/06274ffb-8940-41da-836d-781cba190437",
"metadata": {
"@type": "type.googleapis.com/google.cloud.apigee.v1.OperationMetadata",
"operationType": "UPDATE",
"targetResourceName": "organizations/$ORG",
"state": "IN_PROGRESS"
}
}詳情請參閱「設定機構外掛程式 API」。
管理即付即用機構的進階 API 安全性
如果您是Pay-as-you-go方案客戶,可以啟用 Advanced API Security 付費外掛程式。如要進一步瞭解如何為中階或全面 Apigee 環境啟用 Advanced API Security 外掛程式,請參閱「 管理 Advanced API Security 外掛程式」。
如果您不確定自己使用的是訂閱型或即付即用型 Apigee 機構,請與 Apigee 機構管理員聯絡。
管理評估機構的進階 API 安全性
Apigee 試用 (評估) 機構會自動納入 Advanced API Security 外掛程式,但您必須啟用該外掛程式。
如要啟用這項功能,請按照「為訂閱機構啟用進階 API 安全防護」一文中的操作說明進行。
如要停用這項功能,請按照「為訂閱機構停用 Advanced API Security」一文的指示操作。
後續步驟
啟用進階 API 安全防護後,請參閱下列各節: