本頁內容適用於 Apigee 和 Apigee Hybrid。
查看
Apigee Edge 說明文件。
本頁說明如何開始為訂閱和隨用隨付機構使用 Advanced API Security。
必要角色和權限
以下章節說明使用 Advanced API Security 執行工作時所需的角色和權限。
安全性報告的必要角色
下表列出執行安全性報表相關工作時所需的角色。
| 安全性報告工作 | 必要角色 |
|---|---|
| 啟用或停用 Advanced API Security | Apigee 機構管理員 (roles/apigee.admin) |
| 可製作報表 | Apigee 機構管理員 (roles/apigee.admin)Apigee 安全性管理員 ( roles/apigee.securityAdmin) |
| 查看報表 | Apigee 安全性檢視者 (roles/apigee.securityViewer)Apigee 安全性管理員 ( roles/apigee.securityAdmin) |
風險評估的必要角色
下表列出執行風險評估相關工作所需的角色。
| 風險評估工作 | 必要角色 |
|---|---|
| 建立、更新或刪除自訂安全性設定檔 | Apigee 安全性管理員 (roles/apigee.securityAdmin)Apigee 機構管理員 ( roles/apigee.admin) |
| 附加或卸離安全性設定檔 | Apigee 安全性管理員 (roles/apigee.securityAdmin)Apigee 機構管理員 ( roles/apigee.admin) |
| 查看安全性分數 | Apigee
安全管理員 (roles/apigee.securityAdmin)Apigee 安全檢視者 ( roles/apigee.securityViewer)Apigee 機構管理員 ( roles/apigee.admin) |
| 列出所有安全性設定檔或取得設定檔 | Apigee
安全管理員 (roles/apigee.securityAdmin)Apigee 安全檢視者 ( roles/apigee.securityViewer)Apigee 機構管理員 ( roles/apigee.admin) |
| 建立、更新或刪除安全性監控條件 | Apigee 安全性管理員 (roles/apigee.securityAdmin)Apigee 機構管理員 ( roles/apigee.admin) |
| 列出及查看安全監控條件 | Apigee
安全管理員 (roles/apigee.securityAdmin)Apigee 安全檢視者 ( roles/apigee.securityViewer)Apigee 機構管理員 ( roles/apigee.admin) |
| 列出及查看安全監控條件指標 |
監控管理員 (roles/monitoring.admin)監控編輯者 ( roles/monitoring.editor)
|
| 建立、更新或刪除監控快訊 | 請參閱「必要的角色 (適用於安全性快訊)」 |
| 查看監控快訊 | 請參閱 以指標為基準的警告政策事件:事前準備 |
濫用情形偵測功能所需的角色和權限
下表列出執行濫用行為偵測相關工作所需的角色和權限。
| 濫用行為偵測工作 | 必要角色和權限 |
|---|---|
| 在濫用情形偵測使用者介面中查看事件 | Apigee 安全性管理員 (roles/apigee.securityAdmin)Apigee 安全性檢視者 ( roles/apigee.securityViewer)Apigee 機構管理員 ( roles/apigee.admin) |
| 查看事件生成式 AI 洞察 | cloudaicompanion.instances.generateText權限 |
| 為機構啟用或停用機器學習模型,以偵測濫用行為 | apigee.securitySettings.update 權限Apigee 安全性管理員 ( roles/apigee.securityAdmin)Apigee 機構管理員 ( roles/apigee.admin)
|
執行安全性動作所需的角色
下表列出執行安全性動作相關工作所需的角色。
| 安全性動作工作 | 必要角色 |
|---|---|
| 建立、編輯或刪除安全性動作設定 | Apigee 安全性管理員 (roles/apigee.securityAdmin)Apigee 機構管理員 ( roles/apigee.admin) |
| 查看或列出安全性動作 | Apigee 安全性管理員 (roles/apigee.securityAdmin)Apigee 安全性檢視者 ( roles/apigee.securityViewer)Apigee 機構管理員 ( roles/apigee.admin) |
| 查看違規處置狀態 | Apigee
安全管理員 (roles/apigee.securityAdmin)Apigee 安全檢視者 ( roles/apigee.securityViewer)Apigee 機構管理員 ( roles/apigee.admin) |
管理訂閱機構的進階 API 安全性
如要以訂閱方案客戶身分使用 Advanced API Security,您必須在訂閱方案權利中加入 Advanced API Security。請參閱「Apigee 授權」。如要將 Advanced API Security 新增至授權,請洽詢 Apigee 銷售團隊。
Advanced API Security 納入授權後,請在機構中啟用這項功能:
如果您不確定自己使用的是訂閱型或即付即用型 Apigee 機構,請與 Apigee 機構管理員聯絡。
取得 Apigee 外掛程式設定
如要為訂閱機構啟用 Advanced API Security,請先使用下列 API 呼叫取得目前的 Apigee 外掛程式設定。您也可以藉此確認是否已啟用 Advanced API Security。
curl "https://apigee.googleapis.com/v1/organizations/ORG" \ -X GET \ -H "Content-type: application/json" \ -H "Authorization: Bearer $TOKEN"
其中
- ORG 是貴機構的名稱。
$TOKEN是 OAuth 存取權杖的環境變數。
這項呼叫會傳回機構的基本資訊,包括 Apigee 外掛程式設定的區段,開頭為以下程式碼:
"addonsConfig": {檢查這個部分是否包含下列項目:
"apiSecurityConfig": {
"enabled": true
}如果是,表示組織已啟用 Advanced API Security。否則,您必須按照下節說明啟用這項功能。
為訂閱機構啟用 Advanced API Security
如要在訂閱機構中啟用進階 API 安全性,並使用預設設定,請發出如下所示的 POST 要求。
curl "https://apigee.googleapis.com/v1/organizations/ORG:setAddons" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-type: application/json" \
-d '{
"addonsConfig": {
"apiSecurityConfig": {
"enabled": true
}
<Other entries of your current add-ons configuration>
}
}'其中
- ORG 是貴機構的名稱。
$TOKEN是 OAuth 存取權杖的環境變數。<Other entries of your current add-ons configuration>包含目前 Apigee 外掛程式設定的任何其他項目。
舉例來說,如果目前的外掛程式設定為
"addonsConfig": {
"integrationConfig": {
"enabled":true
},
"monetizationConfig": {
"enabled":true
}
},啟用 Advanced API Security 的指令如下:
curl "https://apigee.googleapis.com/v1/organizations/ORG:setAddons" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-type: application/json" \
-d '{
"addonsConfig": {
"apiSecurityConfig": {
"enabled": true
},
"integrationConfig": {
"enabled": true
},
"monetizationConfig": {
"enabled": true
}
}
}'傳送要求後,您會看到類似以下的回應:
{
"name": "organizations/apigee-docs-d/operations/0718a945-76e0-4393-a456-f9929603b32c",
"metadata": {
"@type": "type.googleapis.com/google.cloud.apigee.v1.OperationMetadata",
"operationType": "UPDATE",
"targetResourceName": "organizations/apigee-docs-d",
"state": "IN_PROGRESS"
}
}為訂閱機構停用 Advanced API Security
如果基於某些原因,您需要在訂閱機構中停用進階 API 安全性,可以發出 POST 要求,並在要求內文中傳遞外掛程式設定,如下所示。
curl "https://apigee.googleapis.com/v1/organizations/$ORG:setAddons" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-type: application/json" \
-d '{
"addonsConfig": {
"apiSecurityConfig": {
"enabled": false
}
<Include current add-ons configuration>
}
}'以下是回應範例,顯示作業正在進行中:
{
"name": "organizations/$ORG/operations/06274ffb-8940-41da-836d-781cba190437",
"metadata": {
"@type": "type.googleapis.com/google.cloud.apigee.v1.OperationMetadata",
"operationType": "UPDATE",
"targetResourceName": "organizations/$ORG",
"state": "IN_PROGRESS"
}
}詳情請參閱「設定機構外掛程式 API」。
管理即付即用機構的進階 API 安全性
如果您是Pay-as-you-go客戶,可以啟用 Advanced API Security 付費外掛程式。如要進一步瞭解如何為中繼或全方位 Apigee 環境啟用 Advanced API Security 外掛程式,請參閱「 管理 Advanced API Security 外掛程式」。
如果不確定自己使用的是訂閱型還是即付即用型 Apigee 機構,請與 Apigee 機構管理員聯絡。
管理評估機構的 Advanced API Security
Apigee 試用 (評估) 組織會自動納入 Advanced API Security 外掛程式,但您必須啟用該外掛程式。
如要啟用這項功能,請按照「為訂閱機構啟用 Advanced API Security」一文中的操作說明進行。
如要停用這項功能,請按照「為訂閱機構停用 Advanced API Security」一文的指示操作。
使用 Terraform 設定 Advanced API Security
Apigee 支援使用 管理部分 Advanced API Security 功能。
舉例來說,您可以使用 Terraform 設定下列項目:
如要瞭解目前支援的功能,請參閱
Terraform 登錄檔的「Apigee」一節。Advanced API Security 相關資源名稱開頭為 google_apigee_security。如需 Terraform 的一般 Apigee 支援資訊,請參閱「搭配 Apigee 使用 Terraform」。
後續步驟
啟用 Advanced API Security 後,請參閱: