Генерация API ключей для Cato API

Существуют отдельные страницы CMA для двух типов API ключей:

  • API ключи - для личного использования индивидуальными администраторами
  • Сервисные ключи - для совместного использования между разными сервисными принципалами

Обзор

Cato позволяет генерировать API-ключи в приложении Cato Management Application (CMA), которые используются для аутентификации API-вызовов к серверу API Cato. Введите API-ключ для API-клиента, кода, скриптов, интеграции Terraform, SIEM, MCP и других, чтобы безопасно взаимодействовать с сервисами Cato.

Вот типы API-ключей:

  • API ключи администраторов - это персональные ключи, привязанные к вашей учетной записи администратора, которые вы используете для собственных API рабочих процессов. Вы можете создать API ключи администратора только для себя. Для получения дополнительной информации смотрите ниже API ключи администраторов.
  • Сервисные API ключи - это общие ключи, используемые системными процессами, автоматизацией или сторонними интеграциями. Эти ключи не привязаны к индивидуальному входу администратора и лучше всего подходят для операционного использования. Для получения дополнительной информации смотрите ниже API ключи сервисного принципала.

Cato обеспечивает детальную поддержку для двух уровней API-вызовов:

  • API-запросы - выполнение только чтения API-вызовов для получения данных для вашего аккаунта

    Разрешения на Просмотр позволяют только выполнять запросы API. Это применимо, независимо от того, назначены ли разрешения через роль или ограничены определенными страницами CMA.

  • API-конфигурации - выполнение записи API-вызовов для внесения изменений в конфигурацию вашего аккаунта

    Разрешения на Редактирование позволяют выполнять конфигурационные или запросные API-вызовы. Это применимо, независимо от того, назначены ли разрешения через роль или ограничены определенными страницами CMA.

Добавление API ключей в API клиент

Чтобы аутентифицировать запросы к Cato API, включите HTTP заголовок с именем x-api-key в вашем клиенте API. Установите значение этого заголовка как ваш Cato API-ключ в формате: x-api-key: <api-key>. Например: x-api-key: abcdef12345. Этот заголовок авторизует ваш запрос и предоставляет доступ к соответствующим конечным точкам Cato API на основе разрешений, связанных с вашим ключом.

Администраторы сервисов

Администратор сервисного принципала - это особый тип администратора CMA, созданный специально для API-основных процессов. Чтобы безопасно поддерживать системные интеграции и процессы автоматизации, создайте администраторов сервисных принципалов для вашего аккаунта. Это позволяет генерировать API-ключи, которые не связаны с личными данными для входа и не могут быть использованы для доступа к CMA.

Учетные данные административного сервисного принципала используются исключительно для аутентификации API с соответствующим сервисным API-ключом. Эта настройка увеличивает безопасность и обеспечивает разделение обязанностей для автоматизированных операций.

Примечание: Новый администратор CMA с именем Automation Service Principal (Editor) автоматически создается в рамках добавления API-ключа Сервис Принципала в существующие учетные записи.

Чтобы создать административный сервисный принципал:

  1. На панели навигации нажмите Аккаунт > Администраторы.

  2. Нажмите Новый.

    Откроется панель Создать Администратора.

  3. Выберите Создать Новый, и Создать как Сервисный Принципал.
  4. Введите Общие настройки для администратора.

  5. Выберите Роль и любые конкретные сайты и пользователи, которые определят разрешения для этого администратора. Для получения информации о ролях, смотрите Управление ролями администраторов с использованием RBAC.

    Эти разрешения будут применяться к Сервисному API-ключу Принципала.

  6. Нажмите Применить. Администратор добавляется на страницу Администраторы, и администратор сервисного принципала автоматически активируется.

Генерация API ключей

Страницы API-ключей и Сервисных API-ключей позволяют генерировать и отзывать API-ключи. Имя для API ключа используется только для идентификации каждого ключа и не используется как часть процесса аутентификации.

Для дополнительной безопасности вы можете ограничить исходные IP или диапазон IP (CIDR) для API и сервисных API ключей.

Примечание: Убедитесь, что вы копируете значение API-ключа из всплывающего окна. Когда вы закроете всплывающее окно, вы не сможете снова получить доступ к значению ключа.

API ключи администратора

Когда вам нужно поддерживать собственные процессы автоматизации как индивидуальному администратору, создайте административный API-ключ, который связан с вашими данными администратора CMA. Вы можете создавать только административные API-ключи для собственного использования, не для других администраторов, и только через CMA.

Когда администратор удаляется, связанный с ним API-ключ автоматически деактивируется. Если администратор отключен, ключ помечается как Отключен, и API-вызовы с его использованием вернут ошибку.

Разрешения RBAC для административных API-ключей

  • Каждый административный API-ключ наследует разрешения RBAC и роли администратора, который его создал. Разрешения обновляются динамически, если роли RBAC администратора изменяются, включая разрешения для конкретных сайтов, групп пользователей и т.д.
  • Администраторы с ролью Просмотр могут видеть всю информацию о API-ключе (не само значение ключа)
  • Администраторы с ролью RBAC Редактор, включающей страницу API-ключей, могут видеть API-ключи в учетной записи и отзывать (удалять) их
admin_API_Keys.png

Чтобы сгенерировать административный API-ключ:

  1. В навигационном меню нажмите Ресурсы > Администратор API ключи.
  2. Нажмите Новый. Открывается панель Создать API ключ.
  3. Введите Имя ключа.
  4. Чтобы установить разрешения только для просмотра для этого ключа, выберите Понизить до просмотра.

  5. (Опционально) Для дополнительной безопасности в разделе Разрешить доступ с IP, выберите Список определенных IP, и определите IP адреса или диапазон IP, который может использовать этот API ключ.

    Настройка по умолчанию позволяет использовать этот API ключ с любого IP адреса.

  6. (Опционально) Выберите дату, до которой API ключ истекает срок действия.

    Для API ключей с разрешениями Редактировать рекомендуется установить дату, когда срок действия API ключа истекает.

  7. Нажмите Применить. API-ключ добавляется на страницу, и отображается всплывающее окно, содержащее значение для нового API-ключа.

  8. Нажмите кнопку, чтобы скопировать сгенерированный CMA API-Ключ и сохранить его в безопасное место.

    После закрытия этого окна вы не сможете получить доступ к значению API ключа.

  9. Нажмите OK чтобы закрыть всплывающее окно.

API ключи сервисных администраторов

Когда вам нужно поддерживать совместные операционные или интеграционные процессы, создайте сервисный API-Ключ на странице Сервисных API-Ключей. Эти ключи предназначены для использования автоматизационными сервисами и скриптами, не требующими доступа к CMA. Они подключены к сервисному администратору, который создал ключ.

Сервисные API-ключи могут использоваться в разных системах и командах, обеспечивая масштабируемую интеграцию с внешними инструментами и сервисами. Эти типы ключей не привязаны к администратору CMA и предназначены для фоновых операций или конвейеров непрерывной доставки.

Разрешения RBAC для сервисных API-ключей

  • Только администраторы с ролью Редактор могут создавать или управлять сервисными API-ключами принципалов
  • Каждый сервисный API-ключ наследует разрешения и роли RBAC администратора сервисного принципала, связанного с ключом. Если разрешения RBAC администратора изменяются, то сервисный API-ключ принципала автоматически обновляется с новыми разрешениями.
service_api_key.png

Чтобы создать сервисный API ключ:

  1. В навигационном меню нажмите Ресурсы > Сервис API ключи.
  2. Нажмите Новый. Открывается панель Создать API ключ.
  3. Выберите Сервисный администратор, который связан с этим ключом.
  4. Введите Имя ключа.
  5. Чтобы установить разрешения только для просмотра для этого ключа, выберите Понизить до просмотра.

  6. (Опционально) Для дополнительной безопасности в Разрешить доступ с IP, выберите Список конкретных IP и определите IP-адреса или диапазон IP, которые могут использовать этот API ключ.

    Настройка по умолчанию разрешает этот API ключ для Любого IP адреса.

  7. (Опционально) Выберите дату, на которую API ключ истекает.

    Для API ключей с разрешениями Редактировать мы рекомендуем установить дату, когда срок действия API ключа истечет.

  8. Нажмите Применить. API ключ добавлен на страницу, и отображается всплывающее окно, содержащее значение нового API ключа.

  9. Нажмите кнопку, чтобы скопировать API Ключ, сгенерированный CMA, и сохранить его в безопасном месте.

    Закрыв это окно, вы не сможете получить доступ к значению для API ключа.

  10. Нажмите ОК чтобы закрыть всплывающее окно.

Отзыв API ключа

Вы можете отозвать API-ключ и удалить его из CMA. Как только ключ отозван, его нельзя использовать для аутентификации на сервере API.

Чтобы отозвать API ключ:

  1. В навигационном меню нажмите Ресурсы > Администратор API ключи или Сервис API ключи.
  2. В строке с API-ключом нажмите значок удаления в конце строки.
  3. В окне подтверждения нажмите Удалить. API ключ отозван и удален из вашей учетной записи.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 4 из 5

0 комментариев