Server & Workload Protection APIキーを使用すると、APIコールを Server & Workload Protectionで認証できます。 APIキーは、マネージャが認証するHTTP要求ヘッダに含める秘密鍵を提供します。各APIキーは、実行可能な処理を決定するユーザ役割にも関連付けられています。有効期限は、キーアクセスの終了時期を決定します。
APIキーは、 Server & Workload Protection コンソールまたはAPIを使用して作成できます。
- Create an API key using code
- Create an API key using Server & Workload Protection
- Manage API keys after their creation
 |
ヒントはWorkoadセキュリティAPIキーの作成ビデオでは、APIキーを作成する手順を説明します。
|
秘密鍵の保護
APIキー管理戦略を実装して、セキュリティを最大化し、システムのセキュリティ侵害を防ぎます。
APIキーの秘密鍵と暗号化の秘密鍵には類似点があるため、暗号化キーの管理には確立されたベストプラクティスを適用できます。 Open Web Application
Security Project (OWASP) は、Key Management Cheat Sheetを公開しています。の項目の多くは、鍵管理ライフサイクルのベストプラクティスセクションは、APIキーの秘密鍵に適用できます。
秘密鍵を保存している場合は、Amazon鍵管理サービス(KMS)。同様に、Trusted Platform Module (TPM) を使用できます。
APIキーが不正使用された場合にアクセスできないように、定期的にキーをローテーションすることを検討してください。または、必要に応じてAPIキーを作成し、使用後に削除することも、短い有効期限を設定することもできます。