本頁面由 Cloud Translation API 翻譯而成。

安全性動作總覽和使用者介面

本頁內容適用於 Apigee 和 Apigee Hybrid。

查看 Apigee Edge 說明文件。

Advanced API Security 安全措施可讓您設定安全措施，定義 Apigee 處理流量的方式。舉例來說，您可以建立安全性動作，拒絕來自 Abuse Detection 判定為濫用的 IP 位址的要求，並禁止這些 IP 位址存取您的 API。

如要使用這項功能，請啟用外掛程式。如果您是訂閱方案客戶，可以為機構啟用外掛程式。詳情請參閱「管理訂閱機構的進階 API 安全性」。如果您是隨用隨付方案客戶，可以在符合資格的環境中啟用外掛程式。詳情請參閱「管理進階 API 安全性外掛程式」。

本頁面概述安全性動作功能，以及如何透過 Cloud 控制台中的 Apigee 使用者介面使用這項功能。您也可以使用安全性動作 API 管理安全性動作。

此外，請參閱執行安全性動作所需的角色，瞭解執行安全性動作工作所需的角色。

安全動作的運作方式

您可以根據特定條件，明確允許、拒絕或標記要求。Apigee 會在 API 代理程式處理要求前，對要求套用這些動作。通常您會採取行動，是因為要求符合不當行為模式，或是 (如果是允許動作) 因為您想針對特定流量覆寫拒絕動作。

標記動作可讓要求傳遞至 API，但會為標記的要求新增最多五個標頭，方便您追蹤這些要求並觀察其行為。

如要找出應採取行動的要求，其中一種方法是使用「濫用行為偵測」偵測到的流量或「事件」檢視畫面，這些畫面會顯示濫用行為的來源 IP 位址和 API 金鑰。

安全性動作

您可以採取下列類型的安全措施。

動作類型	說明	優先順序
允許	允許某些要求，否則這些要求會因拒絕動作而遭到封鎖。舉例來說，假設您已建立安全性動作，拒絕標記偵測規則的流量。您可以建立允許動作，覆寫具有特定條件的要求的拒絕動作。	1
拒絕	封鎖符合動作條件的所有要求，例如來自指定 IP 位址的要求。選擇拒絕要求時，Apigee 會以您選擇的回應代碼回覆用戶端。	2
旗標	標記符合指定條件的要求，讓後端服務對這些要求採取行動。標記用戶端要求時，Apigee 會在要求中新增最多五個您定義的標頭。後端服務可以根據這些標記處理 API 呼叫，例如將呼叫重新導向至其他流程。標記動作可讓您向後端服務發出信號，表示 API 呼叫可疑。	3

優先順序

如果要求符合多個安全性動作的條件，系統會根據動作的優先順序決定要執行哪個動作。舉例來說，假設要求同時符合允許和拒絕動作的條件，由於允許動作的優先順序為 1，拒絕動作的優先順序為 2，因此允許動作的優先順序較高，要求可存取 API。

舉例來說，您可能想允許來自內部或受信任用戶端 IP 位址的要求，即使這些要求符合個別的拒絕動作也一樣。優先順序可確保信任的 IP 位址允許動作會覆寫任何拒絕動作。

Proxy 專屬安全防護動作

安全性動作可以套用至環境中的所有 Proxy，也可以只套用至環境中的特定 Proxy 或 Proxy。如要瞭解 Proxy 專屬安全防護動作的限制，請參閱「安全防護動作的限制」。

安全性動作狀態

每項安全性動作都有狀態：

已啟用：安全措施處於啟用狀態，只要未過期，就會影響 API 要求。
已停用：安全性動作處於非啟用狀態，不會影響 API 要求。
已暫停：安全性動作處於非啟用狀態，不會影響 API 要求。

安全性動作的限制

系統會在 Apigee 環境層級強制執行安全性動作。每個環境的安全防護措施都有下列限制：

每個環境最多可啟用 1,000 個動作。已啟用但過期的動作也會計入這項限制。
每個動作最多可新增 5 個旗標標頭。
Proxy 專屬安全防護動作最多可支援 100 個 Proxy。
Apigee Hybrid 目前不支援 Proxy 專屬的安全措施。
系統不支援多個同名安全性動作。如果快速連續建立多個動作，可能會建立多個同名動作。在這種情況下，只有名稱相同的最新動作才會生效。

延遲

安全措施的延遲時間如下：

建立、編輯或刪除安全性動作後，變更最多可能需要 10 分鐘才會生效。新動作生效並套用至部分 API 流量後，您就能在「安全措施詳細資料」頁面查看動作效果。注意： 除非動作已套用至部分 API 流量，否則無法從「安全性動作詳細資料」頁面判斷動作是否生效。
啟用安全措施後，API 代理程式的回應時間會稍微增加 (不到 2%)。

在使用者介面中管理安全性動作

本節說明如何使用 Cloud Console 中的 Apigee 使用者介面，存取「安全性動作」頁面。您也可以使用安全性動作 API 管理安全性動作。

開啟「安全性動作」頁面

如要開啟「安全性動作」頁面，請按照下列步驟操作：

在 Google Cloud 控制台中，前往「Advanced API security」(進階 API 安全性) >「Security actions」(安全性動作) 頁面。

前往「安全性動作」

系統隨即會開啟主要的「安全性動作」頁面：

在「安全性動作」頁面中，您可以：

建立新的安全性動作。
編輯現有的安全性動作。
啟用或停用安全性動作。
暫停所有或部分已啟用的安全性動作。
刪除安全性動作。

「安全性動作」頁面會顯示安全性動作清單，以及下列詳細資料：

名稱：安全措施的名稱。按一下名稱即可查看動作的詳細資料。
狀態：動作的狀態。請參閱「安全性動作狀態」。
動作：安全性動作類型。
到期時間 (世界標準時間)：動作的到期日。
上次更新時間 (世界標準時間)：上次更新動作的日期和時間。
三點選單，可編輯、停用、啟用或刪除動作。

建立或編輯安全性動作

本節說明如何建立或編輯安全性動作。請注意，安全措施名稱或環境一經建立即無法變更。

如要建立或編輯安全性動作，請按照下列步驟操作：

開啟「安全措施」頁面。
如要建立新的安全性動作，請按一下頁面頂端的「建立」。如要編輯現有的安全性動作，請在動作清單中點選該動作的三點選單，然後選取「編輯」，或選取該動作並點選頁面頂端的「編輯」。
在「一般設定」下方，輸入或編輯下列設定：
- 名稱：安全性動作的名稱。
- 說明 (選填)：簡要說明動作。
- 環境：您要在其中建立安全性動作的環境。
- Proxy (選用)：要套用安全措施的 Proxy。使用「篩選」欄位依名稱限制 Proxy 清單。
  - 將「Proxies」(Proxy) 欄位留空，即可將安全性動作套用至環境中目前和日後的所有 Proxy。
  - 選取個別 Proxy，只對這些 Proxy 套用安全性動作，無論之後在環境中新增任何 Proxy 都一樣。
  - 使用「全選」選取環境中的所有目前 Proxy。日後新增的任何 Proxy 不會自動納入規則。
- 到期時間：動作的到期日期和時間 (如有)。選取「永不」或「自訂」，然後輸入動作的到期日期和時間。你也可以修改時區。
按一下「下一步」，顯示「規則」部分。在這個部分中，輸入或編輯：
- 動作類型：安全性動作的類型：
  - 允許：要求已獲准。
  - 拒絕：要求遭到拒絕，如果選取「拒絕」，您還可以指定在要求遭拒時傳回的回應代碼。這可以是下列任一項：
    - 預先定義：選取 HTTP 代碼。
    - 自訂：輸入回應代碼。
  - 標記：允許要求，但也會標記特殊 HTTP 標頭，供 Proxy 判斷要求是否需要特殊處理。如要定義標頭，請在「標頭」下方選取「旗標」，然後在「標頭」下方建立下列項目：
    - 標頭名稱
    - 標頭值
- 條件：執行安全性動作的條件。在「New condition」下方，輸入下列內容：
  - 條件類型：可以是「偵測規則」，也可以是下列任一屬性：
    - IP 位址/CIDR 範圍，可同時包含 IP 位址和 IPv4 CIDR 範圍。
    - API 金鑰：一或多個 API 金鑰。
    - API 產品：一或多個 Apigee API 產品。
    - 存取權杖：一或多個存取權杖。
    - 開發人員：一或多個 Apigee 開發人員電子郵件地址。
    - 開發人員應用程式：一或多個 Apigee 開發人員應用程式。
    - 使用者代理程式：一或多個使用者代理程式。
    - HTTP 方法、 HTTP 方法例如 GET 或 PUT。
    - 區域代碼：要採取行動的區域代碼清單。請參閱 ISO 3166-1 alpha-2 代碼。
    - 自治系統編號 (ASN)，要採取行動的 ASN 編號清單，例如「23」。請參閱自治系統 (網際網路)。
    注意：
    - 對於「偵測規則」和「IP 位址/CIDR 範圍」這兩種條件類型，您最多可以建立兩個具有這些類型的條件。如果是其他條件類型，最多只能建立一個條件。
    - 如要使用 API 金鑰、API 產品、存取權杖、開發人員或開發人員應用程式條件，您也必須使用驗證 API 金鑰政策或 OAuthV2 政策。詳情請參閱「 API 金鑰的運作方式」。
    - 如果是 Apigee Hybrid，這些條件適用於 1.12 以上版本：API 金鑰、API 產品、存取權杖、開發人員、開發人員應用程式和使用者代理程式。1.13 以上版本提供以下條件：自治系統號碼、CIDR 範圍、HTTP 方法和區域代碼。
  - 值：輸入下列其中一個值：
    - 如果「條件類型」為「偵測規則」，請選取一組偵測規則，要求必須觸發這些規則，才能對要求套用安全性動作。
    - 如果「條件類型」是屬性，請輸入要套用安全性動作的屬性值。舉例來說，如果屬性是「IP 位址/CIDR 範圍」，請輸入您希望套用安全措施的要求來源 IP 位址。您可以輸入以半形逗號分隔的 IPv4 和 IPv6 位址清單。
按一下「建立」，建立安全性動作。

啟用、停用、暫停或刪除安全性動作

本節說明如何透過「安全性動作」頁面變更安全性動作的狀態。如要瞭解各狀態類型，以及這些類型對 API 要求的影響，請參閱「安全性動作狀態」。

您可以採取下列動作來變更狀態：

如要停用有效的安全性動作，請點選動作所在列的三點選單，然後選取「停用」，或點選安全性動作名稱，然後按一下頁面頂端的「停用」。
如要啟用安全性動作，請點選動作列中的三點選單，然後選取「啟用」，或點選安全性動作名稱，然後按一下頁面頂端的「啟用」。
如要暫停所有已啟用的安全性動作，暫時停用這些動作，請按一下頁面頂端安全性動作清單中的「暫停已啟用的動作」。如要繼續所有已暫停的動作，請按一下頁面頂端的「繼續已暫停的動作」。
注意：繼續所有已啟用動作時，任何已停用的動作都會維持停用狀態。

您也可以刪除安全性動作。刪除後，該項目會從設定中永久移除。如要刪除安全性動作，請點選動作所在列中的三點選單，然後選取「刪除」，或點選安全性動作名稱，然後點選頁面頂端的「刪除」。

查看安全性動作詳細資料

如要查看與安全性動作相關的近期 API 流量資料，請在「安全性動作」主頁面中，按一下安全性動作名稱。系統會顯示「安全性動作詳細資料」頁面，其中包含「總覽」和「屬性」兩個分頁。

總覽

選取「總覽」分頁標籤，顯示「總覽」頁面：

「總覽」頁面會顯示您在頁面頂端選取時間範圍 (12 小時、1 天、1 週或 2 週) 內的近期 API 流量資訊。

這個頁面會顯示下列流量資料：

動作類型：拒絕、允許或標記。如要瞭解動作類型，請參閱「安全性動作」。
環境流量總數：環境中的要求總數。
偵測到的事件流量總數：環境中「偵測到」的要求數 (觸發濫用規則)。
受這項動作影響的總流量：
- 如果是拒絕動作，則為遭拒的要求數量。
- 如果是檢舉動作，則為檢舉要求數。
- 如果是允許動作，則為允許的要求數量。

這個頁面也會顯示下列圖表：

環境流量趨勢：偵測到的流量、標記的流量和環境總流量圖表。這張圖表僅限於包含所有觀察到的流量，且時間間隔較短。這個間隔可能比你選取的間隔短。
熱門規則
熱門國家/地區
動作詳細資料

屬性

選取「屬性」分頁標籤，即可顯示「屬性」頁面。

「屬性」頁面會依屬性 (也稱為維度) 顯示安全性動作的資料，這些屬性是資料群組，可讓您以不同方式查看安全性動作。舉例來說，您可以透過 API 產品屬性，依 API 產品查看安全性動作。

「屬性」頁面顯示的資訊與「屬性」檢視畫面類似，可供您查看濫用行為偵測事件詳細資料屬性。