Génération de clés API pour l'API Cato

Il existe des pages CMA séparées pour les deux types de clés API.

  • Clés API - pour usage personnel des admins individuels
  • Clés de service - pour utilisation partagée entre différents principaux de service

Vue d'ensemble

Cato vous permet de générer des clés API dans l'Application de Gestion Cato (CMA) qui sont utilisées pour authentifier les appels API vers le serveur API de Cato. Entrez la clé API pour un client API, code, scripts, Terraform, intégration SIEM, MCP, et plus pour interagir en toute sécurité avec les services Cato.

Voici les types de clés API :

  • Clés API admin sont des clés personnelles liées à votre compte admin, que vous utilisez pour vos propres flux de travail API. Vous ne pouvez créer des clés API admin que pour vous-même. Pour plus d'informations, voir ci-dessous Clés API admin.
  • Clés API de service sont des clés partagées utilisées par les processus système, l'automatisation ou les intégrations tierces. Ces clés ne sont pas liées à une connexion admin individuelle et conviennent mieux aux cas d'utilisation opérationnels. Pour plus d'informations, voir ci-dessous Clés API principal de service.

Cato fournit un support granulaire pour deux niveaux d'appels API :

  • APIs de requête - Effectuez des appels API en lecture seule pour récupérer les données de votre compte

    Les permissions Viewer vous permettent uniquement d'exécuter des appels API de requête. Cela s'applique que les permissions soient assignées via un rôle ou limitées à des pages CMA spécifiques.

  • APIs de configuration - Effectuez des appels API d'écriture pour apporter des modifications de configuration à votre compte

    Les permissions Edit vous permettent uniquement d'exécuter des appels API de configuration ou de requête. Cela s'applique que les permissions soient assignées via un rôle ou limitées à des pages CMA spécifiques.

Ajout de clés API à un client API

Pour authentifier les requêtes à l'API Cato, incluez un en-tête HTTP nommé x-api-key dans votre client API. Définissez la valeur de cet en-tête sur votre clé API Cato en utilisant le format : x-api-key: <api-key>. Par exemple : x-api-key: abcdef12345. Cet en-tête autorise votre requête et accorde l'accès aux points de terminaison API Cato pertinents en fonction des permissions associées à votre clé.

Admins principaux de service

Un administrateur principal de service est un type spécial d'administrateur CMA créé spécifiquement pour les flux de travail basés sur les API. Pour soutenir en toute sécurité les intégrations systèmes et les processus d'automatisation, créez des administrateurs principaux de service pour votre compte. Cela vous permet de générer des clés API qui sont découplées des identifiants de connexion personnels et ne peuvent pas être utilisées pour accéder au CMA.

Les identifiants administratifs principaux de service sont utilisés exclusivement pour l'authentification API avec une clé API de service correspondante. Cette configuration améliore la sécurité et renforce la séparation des tâches pour les opérations automatisées.

Note : Un nouveau admin CMA avec le nom Service d'automatisation principal (Éditeur) est automatiquement créé lors de l'ajout de la clé API principale de service aux comptes existants.

Pour créer un admin principal de service :

  1. Depuis le menu de navigation, cliquez sur Compte > Administrateurs.

  2. Cliquez sur Nouveau.

    Le panneau Créer un administrateur s'ouvre.

  3. Sélectionnez Créer Nouveau, et Créer comme Principal de Service.
  4. Entrez les paramètres Généraux pour l'admin.

  5. Sélectionnez le Rôle et les sites et utilisateurs spécifiques qui définiront les permissions pour cet admin. Pour en savoir plus sur les rôles, voir Gérer les rôles d'administrateur en utilisant le RBAC.

    Ces permissions seront appliquées à la clé API Principal de Service.

  6. Cliquez sur Appliquer. L'admin est ajouté à la page Administrateurs, et l'admin principal de service est automatiquement activé.

Génération de clés API

Les pages Clés API et Clés API de Service vous permettent de générer et de révoquer des clés API. Le Nom de la clé API est uniquement utilisé pour identifier chaque clé et n'est pas utilisé dans le processus d'authentification.

Pour plus de sécurité, vous pouvez restreindre les IP sources ou la plage IP (CIDR) pour les clés API et les clés de service API.

Note : Assurez-vous de copier la valeur de la clé API depuis la fenêtre pop-up. Une fois que vous fermez la fenêtre pop-up, vous ne pouvez plus accéder à la valeur de la clé.

Clés API d'admin

Lorsque vous devez soutenir vos propres flux de travail d'automatisation en tant qu'admin individuel, créez une clé API d'admin liée à vos identifiants d'admin CMA. Vous ne pouvez créer des clés API admin que pour votre propre usage, pas pour d'autres admins, et uniquement via le CMA.

Lorsqu'un admin est supprimé, la clé API associée est automatiquement désactivée. Si un admin est désactivé, la clé est marquée comme Désactivée, et les appels API l'utilisant retourneront une erreur.

Permissions RBAC pour les clés API Admin

  • Chaque clé API admin hérite des permissions RBAC et des rôles de l'admin qui l'a créée. Les permissions se mettent à jour dynamiquement si les rôles RBAC de l'admin changent, y compris les permissions pour des sites spécifiques, des groupes d'utilisateurs, des groupes, etc.
  • Les admins avec le rôle Viewer peuvent voir toutes les informations de la clé API (pas la valeur réelle de la clé)
  • Les admins avec un rôle RBAC Editor qui inclut la page Clés API peuvent voir les clés API dans le compte et aussi les révoquer (les supprimer)
admin_API_Keys.png

Pour générer une clé API admin :

  1. Dans le menu de navigation, cliquez sur Ressources > Clés API Admin.
  2. Cliquez sur Nouveau. Le panneau Créer une clé API s'ouvre.
  3. Entrez un Nom de clé.
  4. Pour appliquer des autorisations en lecture seule pour cette clé, sélectionnez Rétrograder vers Voir.

  5. (Optionnel) Pour plus de sécurité, dans Autoriser l'accès depuis des IPs, sélectionnez Liste d'IP spécifique, et définissez les adresses IP ou la plage IP autorisées à utiliser cette clé API.

    Le paramètre par défaut est d'autoriser cette clé API pour Toutes les adresses IP.

  6. (Optionnel) Sélectionnez une date à laquelle la clé API Expire le.

    Pour les clés API avec des permissions Modifier, nous recommandons de définir une date à laquelle la clé API Expirera le.

  7. Cliquez sur Appliquer. La clé API est ajoutée à la page, et une fenêtre pop-up contenant la valeur pour la nouvelle clé API est affichée.

  8. Cliquez sur le bouton pour copier la clé API qui est générée par la CMA et sauvegardez-la dans un endroit sécurisé.

    Une fois cette fenêtre fermée, vous ne pourrez plus accéder à la valeur de la clé API.

  9. Cliquez sur OK pour fermer la fenêtre popup.

Clés API Service Principal

Lorsque vous devez soutenir des flux de travail opérationnels partagés ou d'intégration, créez une clé API de service depuis la page Clés API de Service. Ces clés sont conçues pour être utilisées par des services et scripts d'automatisation qui n'ont pas besoin d'accéder au CMA. Ils sont connectés à l'admin du service principal qui a créé la clé.

Les clés API de service peuvent être utilisées entre systèmes et équipes, permettant une intégration évolutive avec des outils et services externes. Ces types de clés ne sont pas liées à un admin CMA et sont destinées aux opérations backend ou aux pipelines de livraison continue.

Permissions RBAC pour les clés API de Service

  • Seuls les admins avec le rôle Editor peuvent créer ou gérer les clés API principal de service
  • Chaque clé API de service hérite des permissions RBAC et des rôles de l'admin principal de service associé à la clé. Si les permissions RBAC de l'admin changent, alors la clé API principal de service est automatiquement mise à jour avec les nouvelles permissions.
service_api_key.png

Pour générer une clé API de service :

  1. Dans le menu de navigation, cliquez sur Ressources > Clés API Service.
  2. Cliquez sur Nouveau. Le panneau Créer une clé API s'ouvre.
  3. Sélectionnez le Service Principal qui est associé à cette clé.
  4. Entrez un Nom de la clé.
  5. Pour appliquer des autorisations en lecture seule pour cette clé, sélectionnez Rétrograder vers Voir.

  6. (Optionnel) Pour une sécurité supplémentaire, dans Autoriser l'accès depuis les IPs, sélectionnez Liste spécifique d'IP, et définissez les adresses IP ou la plage d'IPs autorisées à utiliser cette clé API.

    Le paramètre par défaut est d'autoriser cette clé API pour N'importe quelle IP.

  7. (Optionnel) Sélectionnez une date à laquelle la clé API Expire à.

    Pour les clés API avec des autorisations de Modifier, nous recommandons de définir une date à laquelle la clé API Expirera à.

  8. Cliquez sur Appliquer. La clé API est ajoutée à la page, et une fenêtre pop-up contenant la valeur pour la nouvelle clé API est affichée.

  9. Cliquez sur le bouton pour copier la Clé générée par le CMA et l'enregistrer dans un emplacement sécurisé.

    Une fois que vous avez fermé cette fenêtre, vous ne pouvez plus accéder à la valeur pour la clé API.

  10. Cliquez sur OK pour fermer la fenêtre pop-up.

Révoquer une Clé API

Vous pouvez révoquer la clé API et la supprimer de la CMA. Une fois révoquée, la clé ne peut plus être utilisée pour s'authentifier auprès du serveur API.

Pour révoquer une clé API :

  1. Dans le menu de navigation, cliquez sur Ressources > Clés API Admin ou Clés API Service.
  2. Dans la ligne avec la clé API, cliquez sur l'icône de suppression à la fin de la ligne.
  3. Dans la fenêtre de confirmation, cliquez sur Supprimer. La clé API est révoquée et supprimée de votre compte.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 4 sur 5

0 commentaire