Diese Seite gilt für Apigee und Apigee Hybrid.
Apigee Edge-Dokumentation aufrufen
Auf dieser Seite wird beschrieben, wie Sie die erweiterte API-Sicherheit für Organisationen mit Abo und „Pay as you go“-Organisationen verwenden.
Erforderliche Rollen und Berechtigungen
In den folgenden Abschnitten werden die erforderlichen Rollen und Berechtigungen zum Ausführen von Aufgaben mit Advanced API Security beschrieben.
Erforderliche Rollen für Sicherheitsberichte
In der folgenden Tabelle sind die erforderlichen Rollen für Aufgaben im Zusammenhang mit Sicherheitsberichten aufgeführt.
| Sicherheitsberichte – Aufgabe | Erforderliche Rollen |
|---|---|
| Erweiterte API-Sicherheit aktivieren oder deaktivieren | Apigee
Organization Admin (roles/apigee.admin) |
| Berichte erstellen | Apigee-Organisationsadministrator (roles/apigee.admin)Apigee-Sicherheitsadministrator ( roles/apigee.securityAdmin) |
| Berichte ansehen | Apigee-Sicherheitsbetrachter (roles/apigee.securityViewer)Apigee-Sicherheitsadministrator ( roles/apigee.securityAdmin) |
Erforderliche Rollen für die Risikobewertung
In der folgenden Tabelle sind die erforderlichen Rollen für Aufgaben im Zusammenhang mit der Risikobewertung aufgeführt.
| Risikobewertungsaufgabe | Erforderliche Rollen |
|---|---|
| Benutzerdefiniertes Sicherheitsprofil erstellen, aktualisieren oder löschen | Apigee-Sicherheitsadministrator (roles/apigee.securityAdmin)Apigee-Organisationsadministrator ( roles/apigee.admin) |
| Sicherheitsprofil anhängen oder trennen | Apigee-Sicherheitsadministrator (roles/apigee.securityAdmin)Apigee-Organisationsadministrator ( roles/apigee.admin) |
| Sicherheitspunktzahlen ansehen | Apigee-Sicherheitsadministrator (roles/apigee.securityAdmin)Apigee-Sicherheitsbetrachter ( roles/apigee.securityViewer)Apigee-Organisationsadministrator ( roles/apigee.admin) |
| Alle Sicherheitsprofile auflisten oder Profil abrufen | Apigee-Sicherheitsadministrator (roles/apigee.securityAdmin)Apigee-Sicherheitsbetrachter ( roles/apigee.securityViewer)Apigee-Organisationsadministrator ( roles/apigee.admin) |
| Sicherheitsüberwachungsbedingung erstellen, aktualisieren oder löschen | Apigee-Sicherheitsadministrator (roles/apigee.securityAdmin)Apigee-Organisationsadministrator ( roles/apigee.admin) |
| Sicherheitsüberwachungsbedingungen auflisten und ansehen | Apigee-Sicherheitsadministrator (roles/apigee.securityAdmin)Apigee-Sicherheitsbetrachter ( roles/apigee.securityViewer)Apigee-Organisationsadministrator ( roles/apigee.admin) |
| Messwerte für Sicherheitsmonitoringbedingungen auflisten und ansehen |
Monitoring-Administrator (roles/monitoring.admin)Monitoring-Bearbeiter ( roles/monitoring.editor)
|
| Monitoringbenachrichtigungen erstellen, aktualisieren oder löschen | Weitere Informationen finden Sie unter Erforderliche Rollen (für Sicherheitswarnungen). |
| Monitoringbenachrichtigungen ansehen | Weitere Informationen finden Sie unter Vorfälle für messwertbasierte Benachrichtigungsrichtlinien: Vorbereitung. |
Erforderliche Rollen und Berechtigungen für die Missbrauchserkennung
In der folgenden Tabelle sind die erforderlichen Rollen und Berechtigungen für Aufgaben im Zusammenhang mit der Missbrauchserkennung aufgeführt.
| Aufgabe zur Missbrauchserkennung | Erforderliche Rollen und Berechtigungen |
|---|---|
| Vorfälle in der Benutzeroberfläche zur Missbrauchserkennung ansehen | Apigee-Sicherheitsadministrator (roles/apigee.securityAdmin)Apigee-Sicherheitsbetrachter ( roles/apigee.securityViewer)Apigee-Organisationsadministrator ( roles/apigee.admin) |
| Generative AI Insights für Vorfall ansehen | cloudaicompanion.instances.generateText-Berechtigung |
| Organisation für Modelle für maschinelles Lernen zur Missbrauchserkennung aktivieren oder deaktivieren | apigee.securitySettings.update-BerechtigungApigee-Sicherheitsadministrator ( roles/apigee.securityAdmin)Apigee-Organisationsadministrator ( roles/apigee.admin)
|
Erforderliche Rollen für Sicherheitsaktionen
In der folgenden Tabelle sind die erforderlichen Rollen für Aufgaben im Zusammenhang mit Sicherheitsaktionen aufgeführt.
| Sicherheitsaktion – Aufgabe | Erforderliche Rolle(n) |
|---|---|
| Konfigurationen für Sicherheitsaktionen erstellen, bearbeiten oder löschen | Apigee-Sicherheitsadministrator (roles/apigee.securityAdmin)Apigee-Organisationsadministrator ( roles/apigee.admin) |
| Sicherheitsaktionen ansehen oder auflisten | Apigee-Sicherheitsadministrator (roles/apigee.securityAdmin)Apigee-Sicherheitsbetrachter ( roles/apigee.securityViewer)Apigee-Organisationsadministrator ( roles/apigee.admin) |
| Status der Erzwingung prüfen | Apigee-Sicherheitsadministrator (roles/apigee.securityAdmin)Apigee-Sicherheitsbetrachter ( roles/apigee.securityViewer)Apigee-Organisationsadministrator ( roles/apigee.admin) |
Erweiterte API-Sicherheit für Abo-Organisationen verwalten
Wenn Sie Advanced API Security als Abo-Kunde verwenden möchten, muss Advanced API Security Teil Ihrer Abo-Berechtigungen sein. Weitere Informationen finden Sie unter Apigee-Berechtigungen. Wenn Sie Advanced API Security zu Ihren Berechtigungen hinzufügen möchten, wenden Sie sich an den Apigee-Vertrieb.
Sobald die erweiterte API-Sicherheit Teil Ihrer Berechtigungen ist, können Sie sie in Ihrer Organisation aktivieren:
- Konfiguration von Apigee-Add-ons abrufen
- Erweiterte API-Sicherheit für Abo-Organisationen aktivieren
Wenn Sie sich nicht sicher sind, ob Sie ein Abo oder eine „Pay as you go“-Apigee-Organisation verwenden, wenden Sie sich an den Administrator Ihrer Apigee-Organisation.
Konfiguration von Apigee-Add-ons abrufen
Um Erweiterte API-Sicherheit für Ihre Abo-Organisation zu aktivieren, müssen Sie zuerst Ihre aktuelle Apigee-Add-on-Konfiguration mithilfe des folgenden API-Aufrufs abrufen. Außerdem erfahren Sie, ob die erweiterte API-Sicherheit bereits aktiviert ist.
curl "https://apigee.googleapis.com/v1/organizations/ORG" \ -X GET \ -H "Content-type: application/json" \ -H "Authorization: Bearer $TOKEN"
Dabei gilt:
- ORG ist der Name Ihrer Organisation.
$TOKENist die Umgebungsvariable für ein OAuth-Zugriffstoken.
Dieser Aufruf gibt grundlegende Informationen zu Ihrer Organisation zurück, einschließlich eines Abschnitts für Ihre Apigee-Add-on-Konfiguration, der mit der folgenden Zeile beginnt:
"addonsConfig": {Prüfen Sie, ob dieser Abschnitt den folgenden Eintrag enthält:
"apiSecurityConfig": {
"enabled": true
}Wenn ja, ist die erweiterte API-Sicherheit bereits in der Organisation aktiviert. Andernfalls müssen Sie sie wie unten beschrieben aktivieren.
Erweiterte API-Sicherheit für Abo-Organisationen aktivieren
Zum Aktivieren der erweiterten API-Sicherheit in einer Abo-Organisation mit der Standardkonfiguration senden Sie eine POST-Anfrage, wie unten gezeigt.
curl "https://apigee.googleapis.com/v1/organizations/ORG:setAddons" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-type: application/json" \
-d '{
"addonsConfig": {
"apiSecurityConfig": {
"enabled": true
}
<Other entries of your current add-ons configuration>
}
}'Wobei Folgendes gilt:
- ORG ist der Name Ihrer Organisation.
$TOKENist die Umgebungsvariable für ein OAuth-Zugriffstoken.<Other entries of your current add-ons configuration>besteht aus allen anderen Einträgen Ihrer aktuellen Apigee-Add-on-Konfiguration.
Wenn die aktuelle Add-on-Konfiguration beispielsweise
"addonsConfig": {
"integrationConfig": {
"enabled":true
},
"monetizationConfig": {
"enabled":true
}
},ist, wäre der Befehl zur Aktivierung der erweiterten API-Sicherheit
curl "https://apigee.googleapis.com/v1/organizations/ORG:setAddons" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-type: application/json" \
-d '{
"addonsConfig": {
"apiSecurityConfig": {
"enabled": true
},
"integrationConfig": {
"enabled": true
},
"monetizationConfig": {
"enabled": true
}
}
}'Nachdem Sie die Anfrage gesendet haben, wird eine Antwort wie diese angezeigt:
{
"name": "organizations/apigee-docs-d/operations/0718a945-76e0-4393-a456-f9929603b32c",
"metadata": {
"@type": "type.googleapis.com/google.cloud.apigee.v1.OperationMetadata",
"operationType": "UPDATE",
"targetResourceName": "organizations/apigee-docs-d",
"state": "IN_PROGRESS"
}
}Erweiterte API-Sicherheit für Abo-Organisationen deaktivieren
Wenn Sie die erweiterte API-Sicherheit für Ihre Abo-Organisation deaktivieren müssen, können Sie dazu eine POST-Anfrage senden und die Add-on-Konfiguration im Anfragetext übergeben, wie unten gezeigt.
curl "https://apigee.googleapis.com/v1/organizations/$ORG:setAddons" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-type: application/json" \
-d '{
"addonsConfig": {
"apiSecurityConfig": {
"enabled": false
}
<Include current add-ons configuration>
}
}'Das folgende Beispiel enthält eine Antwort, die zeigt, dass der Vorgang läuft:
{
"name": "organizations/$ORG/operations/06274ffb-8940-41da-836d-781cba190437",
"metadata": {
"@type": "type.googleapis.com/google.cloud.apigee.v1.OperationMetadata",
"operationType": "UPDATE",
"targetResourceName": "organizations/$ORG",
"state": "IN_PROGRESS"
}
}Weitere Informationen finden Sie unter Organization Add-ons API konfigurieren.
Erweiterte API-Sicherheit für „Pay-as-you-go“-Organisationen verwalten
Wenn Sie „Pay as you go“-Kunde sind, können Sie Erweiterte API-Sicherheit von Apigee als kostenpflichtiges Add-on aktivieren. Weitere Informationen zum Aktivieren des Add-ons Erweiterte API-Sicherheit für Ihre Zwischenumgebungen oder umfassenden Umgebungen von Apigee finden Sie unter Add-on Erweiterte API-Sicherheits verwalten.
Wenn Sie sich nicht sicher sind, ob Sie ein Abo oder eine „Pay as you go“-Apigee-Organisation verwenden, wenden Sie sich an den Administrator Ihrer Apigee-Organisation.
Erweiterte API-Sicherheit für Testorganisationen verwalten
Das Advanced API Security-Add‑on ist automatisch in Apigee-Testorganisationen (Evaluierung) enthalten, muss aber aktiviert werden.
Folgen Sie der Anleitung unter Erweiterte API-Sicherheit für Abo-Organisationen aktivieren, um die Funktion zu aktivieren.
Wenn Sie die erweiterte API-Sicherheit deaktivieren müssen, folgen Sie der Anleitung unter Erweiterte API-Sicherheit für Abo-Organisationen deaktivieren.
Erweiterte API-Sicherheit mit Terraform konfigurieren
Apigee unterstützt die Verwendung von , um einige Funktionen von Advanced API Security zu verwalten.
Mit Terraform können Sie beispielsweise Folgendes konfigurieren:
- Sicherheitsaktionen
- Sicherheitsprofile für die Risikobewertung 2
- Bedingungen für das Sicherheitsmonitoring in Risk Assessment 2
Informationen zu den derzeit unterstützten Funktionen finden Sie im Abschnitt Apigee> in der
Terraform Registry. Ressourcennamen, die sich auf Advanced API Security beziehen, beginnen mit google_apigee_security. Informationen zur allgemeinen Apigee-Unterstützung für Terraform finden Sie unter Terraform mit Apigee verwenden.
Nächste Schritte
Nachdem Sie die erweiterte API-Sicherheit aktiviert haben, finden Sie hier weitere Informationen:
- Sicherheitsberichte
- Risikobewertung
- Missbrauchserkennung
- Sicherheitsbenachrichtigungen
- Sicherheitsaktionen