生成Cato API的API密钥

有两个类型的API密钥有单独的CMA页面:

  • API 密钥 - 供个人管理员使用
  • 服务密钥 - 用于不同服务主体之间的共享使用

概览

Cato允许您在Cato管理应用程序(CMA)中生成API密钥,用于对Cato API服务器进行API调用认证。 输入API密钥以便API客户端、代码、脚本、Terraform、SIEM集成、MCP等安全地与Cato服务进行互动。

这些是API密钥的类型:

  • 管理员 API 密钥 是与您的管理员账户关联的个人密钥,用于您的API工作流程。 您只能为自己创建管理员 API 密钥。 欲了解更多信息,请参阅下面的 管理员 API 密钥
  • 服务 API 密钥 是由系统进程、自动化或第三方集成所用的共享密钥。 这些密钥不与单个管理员登录绑定,非常适合操作用例。 有关详细信息,请参阅下面的服务主体 API 密钥

Cato提供两级API调用的详细支持:

  • 查询API - 执行只读API调用以检索您的账户的数据显示

    查看者权限允许您仅运行查询API调用。 这适用于无论权限是通过角色分配还是限制为特定CMA页面。

  • 配置API - 执行写入API调用以进行账户配置修改

    编辑权限允许您仅运行配置或查询API调用。 这适用于无论权限是通过角色分配还是限制为特定CMA页面。

添加 API 密钥到 API 客户端

为了认证请求到Cato API,在您的API客户端中包括名为x-api-key的HTTP头。 使用格式x-api-key: <api-key>将此头的值设置为您的Cato API密钥。 例如:x-api-key: abcdef12345。 这个头验证您的请求并根据与您密钥相关的权限授予对相关Cato API端点的访问。

服务负责人管理员

服务主体管理员是一种专为API工作流创建的特殊类型的CMA管理员。 为安全支持系统集成和自动化流程,创建您的账户的服务主体管理员。 这样可以生成与个人登录凭证分离的API密钥,无法用于访问CMA。

服务主体管理员凭证专用于API认证并具有相应的服务API密钥。 此设置增强了安全性,并执行了自动操作的职能分离。

注意: 一个新建的 自动化服务负责人(编辑者) 管理员将在将服务负责人 API 密钥上传到现有账户过程中自动创建。

要创建服务主体管理员:

  1. 从导航菜单中,点击账户 > 管理员

  2. 点击新建

    创建管理员面板打开。

  3. 选择创建新,并选择作为服务主体创建
  4. 输入管理员的通用设置。

  5. 选择角色以及定义该管理员权限的任何特定站点和用户。 有关角色的信息,请参见使用RBAC管理管理员角色

    这些权限将应用于服务主体API密钥。

  6. 点击应用。 管理员被添加到管理员页面,并且服务主体管理员自动激活。

生成 API 密钥

API密钥和服务API密钥页面允许您生成和撤销API密钥。 API密钥的名字仅用于识别每个密钥,不用于认证过程的一部分。

为了额外的安全性,您可以限制API和服务API密钥的来源IP或IP范围(CIDR)。

注意:请确保从弹出窗口中复制API密钥值。 一旦关闭弹出窗口,您无法再次访问密钥值。

管理员 API 密钥

当您需要支持自己的自动化工作流程作为个别管理员时,请创建与您的CMA管理员凭证绑定的管理员API密钥。 您只能为自己的使用创建管理员API密钥,而不是其他管理员,并且只能通过CMA进行。

当管理员被删除时,关联的API密钥自动停用。 如果管理员被禁用,密钥标记为禁用,使用该密钥的API调用将返回错误。

管理员API密钥的RBAC权限

  • 每个管理员API密钥继承创建管理员的RBAC权限和角色。 如果管理员的RBAC角色发生变化,包括特定站点、用户组、组等的权限更新。
  • 具有查看者角色的管理员可以查看所有API密钥信息(无法查看实际密钥值)
  • 具有包含API密钥页面的编辑者RBAC角色的管理员可以查看账户中的API密钥,并撤销(删除)它们
admin_API_Keys.png

要生成管理员API密钥:

  1. 在导航菜单中,点击资源 > 管理员 API 密钥
  2. 点击新建创建API密钥面板打开。
  3. 输入密钥名称
  4. 要应用仅查看权限,选择降级到查看

  5. (可选)为了额外的安全性,在允许从IPs访问中,选择特定IP列表,并定义允许使用此API密钥的IP地址或IP范围。

    默认设置是允许此API密钥用于任何IP地址。

  6. (可选)选择API密钥的过期时间

    对于具有编辑权限的API密钥,我们建议您设置API密钥的过期时间

  7. 点击应用。 API密钥已添加到页面,并显示一个包含新API密钥值的弹窗。

  8. 点击按钮复制由CMA生成的API密钥并保存到安全位置。

    一旦关闭此窗口,您将无法访问API密钥的值。

  9. 点击确定以关闭弹出窗口。

服务主体 API 密钥

当您需要支持共享运维或集成工作流程时,请从服务API密钥页面创建服务API密钥。 这些密钥设计用于不需要访问CMA的自动化服务和脚本。 它们已连接到创建密钥的服务主体管理员。

服务API密钥可用于跨系统和团队,使与外部工具和服务的集成达到可扩展。 这些类型的密钥与CMA管理员无关,适用于后台操作或持续交付管道。

服务API密钥的RBAC权限

  • 只有具有编辑者角色的管理员才能创建或管理服务主体API密钥
  • 每个服务API密钥继承与密钥相关的服务主体管理员的RBAC权限和角色。 如果管理员的RBAC权限发生变化,则服务主体API密钥会自动更新新的权限。
service_api_key.png

生成服务 API 密钥:

  1. 在导航菜单中,点击资源 > 服务 API 密钥
  2. 点击新建创建 API 密钥面板打开。
  3. 选择与此密钥关联的服务主体
  4. 输入密钥名称
  5. 要应用仅查看权限,选择降级到查看

  6. (可选) 为了额外的安全性,在允许来自 IP 的访问中,选择特定 IP 列表,并定义允许使用此 API 密钥的 IP 地址或 IP 范围。

    默认设置是允许此 API 密钥用于任何 IP地址。

  7. (可选)选择 API 密钥到期的日期。

    对于具有编辑权限的 API 密钥,我们建议设置 API 密钥的到期日期。

  8. 点击应用。 API 密钥已添加到页面,包含新 API 密钥值的弹出窗口显示出来。

  9. 点击按钮复制由 CMA 生成的 API 密钥并将其保存到安全位置。

    关闭此窗口后,您将无法访问 API 密钥的值。

  10. 点击确定关闭弹出窗口。

撤销 API 密钥

您可以撤销API密钥,并将其从CMA中删除。 一旦撤销,密钥就不能用于认证到API服务器。

撤销API密钥:

  1. 在导航菜单中,点击资源 > 管理员 API 密钥服务 API 密钥
  2. 在包含API密钥的行中,点击行尾的删除图标。
  3. 在确认窗口中,点击删除。 API密钥已撤销并从您的账户中移除。

这篇文章有帮助吗?

5 人中有 4 人觉得有帮助

0 条评论