2種類のAPIキーに対して、個別のCMAページがあります。
- APIキー - 個々の管理者の個人使用のための
- サービスキー - 異なるサービスプリンシパル間で共有使用するための
Catoは、Cato Management Application (CMA)で使用されるAPIキーを生成し、Cato APIサーバーへのAPI呼び出しを認証します。 APIクライアント、コード、スクリプト、Terraform、SIEMインテグレーション、MCPなどと安全にCatoサービスとやり取りするためにAPIキーを入力します。
これらはAPIキーのタイプです:
- 管理者APIキーは管理者アカウントに紐付けられた個人キーで、ご自身のAPIワークフローに使用します。 管理者APIキーは自分専用のものしか作成できません。 詳細については、以下の管理者APIキーをご覧ください。
- サービスAPIキーはシステムプロセス、オートメーション、またはサードパーティ統合で使用される共有キーです。 これらのキーは、個々の管理ログインに紐付けられておらず、運用上の使用に最適です。 詳細については、以下のサービスプリンシパルAPIキーをご覧ください。
Catoは2レベルのAPI呼び出しに対して詳細なサポートを提供します。
-
クエリAPI - アカウントのデータを取得するための参照専用API呼び出しを実行
ビューア権限では、クエリAPI呼び出しのみを実行できます。 この適用は、役割を通じて割り当てられるか、特定のCMAページに限定されるかによります。
-
構成API - アカウントの構成を変更するための書き込みAPI呼び出しを実行
編集権限では、構成またはクエリAPI呼び出しのみを実行できます。 この適用は、役割割り当て、または特定のCMAページに限定で適用されます。
サービスプリンシパル管理者は、特にAPIベースのワークフロー用に作成された特別な種類のCMA管理者です。 システムインテグレーションと自動化プロセスを安全にサポートするために、アカウントにサービスプリンシパル管理者を作成します。 これにより、個人のログイン資格情報とは切り離されたAPIキーを生成でき、CMAにアクセスするのには使えません。
サービスプリンシパル管理者の資格情報は、対応するサービスAPIキーを使用したAPI認証のみに使用されます。 このセットアップはセキュリティを強化し、自動化された操作に対する職務分離を実施します。
注: 新しいCMA管理者として自動化サービスプリンシパル (編集者)の名前で、自動的に作成され、既存のアカウントへのサービスプリンシパルAPIキーの追加の一部として生成されます。
サービスプリンシパル管理者を作成するには:
- ナビゲーションメニューから、アカウント > 管理者をクリックします。
-
新規をクリックします。
管理者を作成パネルが開きます。
- 新規作成とサービスプリンシパルとして作成を選択します。
- 管理者の一般設定を入力します。
-
この管理者の権限を定義する役割と、特定のサイトおよびユーザーを選択します。 役割について学ぶには、RBACを使用した管理者の役割管理を参照してください。
これらの権限はサービスプリンシパルAPIキーに適用されます。
- 適用をクリックします。 管理者は管理者ページに追加され、サービスプリンシパル管理者は自動的にアクティブ化されます。
APIキーおよびサービスAPIキーのページは、APIキーを生成および取り消すことができます。 APIキーの名前は各キーを識別するためのものであり、認証プロセスの一部として使用されるものではありません。
さらにセキュリティを高めるために、APIおよびサービスAPIキーのソースIPまたはIPレンジ(CIDR)を制限することができます。
注意: ポップアップウィンドウからAPIキーの値を必ずコピーしてください。 ポップアップウィンドウを閉じると、キーの値に再度アクセスすることはできません。
個別の管理者として自動化ワークフローをサポートする必要がある場合、CMA管理者資格情報に関連付けられた管理者APIキーを作成します。 管理者APIキーは自分の使用のためにのみ作成でき、他の管理者のためにはできません。また、CMAを経由してのみ作成できます。
管理者が削除されると、関連するAPIキーは自動的に無効になります。 管理者が無効になると、キーは無効とマークされ、それを使用したAPI呼び出しはエラーを返します。
管理者APIキーのRBAC権限
- 各管理者APIキーは、作成した管理者のRBAC権限および役割を継承します。 管理者のRBAC役割が変更されると、特定のサイト、ユーザーグループ、グループなどの権限も含め、動的に権限が更新されます。
- ビューア役割を持つ管理者は、APIキー情報(実際のキーの値ではなく)を見ることができます。
- APIキーのページを含むRBAC役割を持つエディターの管理者は、アカウント内のAPIキーを見ることができ、それを取り消す(削除する)こともできます。
管理者APIキーを生成するには:
- ナビゲーションメニューでリソース > 管理者 APIキーをクリックします。
- 新規をクリックします。 APIキーの作成パネルが開きます。
- キー名を入力します。
- このキーに表示のみの権限を適用するには、表示にダウングレードを選択します。
-
(任意) 追加のセキュリティのために、IPからのアクセスを許可で特定のIPリストを選択し、このAPIキーの利用が許可されるIPアドレスまたはIPレンジを定義します。
デフォルトの設定では、このAPIキーは任意のIPアドレスに対して許可されます。
-
(任意) APIキーの有効期限を選択します。
編集権限を持つAPIキーには、APIキーの有効期限を設定することをお勧めします。
- 適用をクリックします。 APIキーがページに追加され、新しいAPIキーの値が表示されるポップアップウィンドウが開かれます。
-
CMAで生成されたAPIキーをコピーするボタンをクリックし、安全な場所に保存します。
このウィンドウを閉じると、APIキーの値にアクセスすることはできません。
- OKをクリックしてポップアップウィンドウを閉じます。
共有の運用またはインテグレーションワークフローをサポートする必要がある場合、サービスAPIキーのページからサービスAPIキーを作成します。 これらのキーは、CMAへのアクセスを必要としないオートメーションサービスとスクリプトで使用するように設計されています。 それらはキーを作成したサービス主管理者に接続されています。
サービスAPIキーはシステムやチーム間で使用でき、外部ツールやサービスとのスケーラブルな統合を可能にします。 これらのタイプのキーはCMA管理者には結びつけられておらず、バックエンド操作や継続的デリバリーパイプラインを想定しています。
サービスAPIキーのRBAC権限
- エディターの役割を持つ管理者のみがサービスプリンシパルAPIキーを作成または管理できます。
- 各サービスAPIキーは、関連付けられたサービスプリンシパル管理者のRBAC権限および役割を継承します。 管理者のRBAC権限が変更される場合、新しい権限に応じてサービスプリンシパルAPIキーが自動的に更新されます。
サービス APIキーを生成するには:
- ナビゲーションメニューでリソース > サービス APIキーをクリックします。
- 新規をクリックします。 APIキーの作成パネルが表示されます。
- このキーと関連付けられたサービス主を選択します。
- キー名を入力します。
- このキーに表示のみの権限を適用するには、表示にダウングレードを選択します。
-
(任意) 追加のセキュリティのために、IPからのアクセスを許可するで特定のIPリストを選択し、このAPIキーを使用することが許可されているIPアドレスまたはIP範囲を定義します。
デフォルトの設定はこのAPIキーを任意のIPアドレスに対して許可します。
-
(任意) APIキーが有効期限になる日付を選択します。
編集権限を持つAPIキーの場合、APIキーが有効期限になる日付を設定することをお勧めします。
- 適用をクリックします。 APIキーがページに追加され、新しいAPIキーの値を含むポップアップウィンドウが表示されます。
-
CMAによって生成されたAPIキーをコピーするためのボタンをクリックし、安全な場所に保存します。
このウィンドウを閉じると、APIキーの値にアクセスできません。
- ポップアップウィンドウを閉じるためにOKをクリックします。
0件のコメント
サインインしてコメントを残してください。