總覽
整合 API 中心連接器後,系統會將 API Proxy 和 Sharedflow 套件的中繼資料上傳至 API 中心。這些組合可能包含個人識別資訊 (PII) 或政策設定中的其他私密資料。這項功能可讓您在將套件上傳至 API 中樞前,遮蓋已識別的 PII 欄位,確保 Edge for Private Cloud 環境的資料隱私權和法規遵循。
遮蓋方法
系統會使用 XPath 運算式,針對套件內 XML 格式的政策設定中的特定元素套用 PII 遮蓋。這項功能分為兩部分。
預設遮罩
Apigee Edge for Private Cloud 內建一組預先定義的 XPath 運算式 (稱為「預設遮蓋」),可自動鎖定各種政策中已知可能含有 PII 的欄位。
潛在的 PII 來源和預設遮蓋
下表列出套用預設遮蓋的政策和元素:
| 政策名稱 | 敏感元素 | 預設遮罩 XPath | 原因 |
|---|---|---|---|
BasicAuthentication |
硬式編碼的使用者名稱 | //BasicAuthentication/User |
直接儲存明文使用者身分識別資訊。 |
BasicAuthentication |
硬式編碼密碼 | //BasicAuthentication/Password |
直接儲存純文字密碼。 |
GenerateJWT |
對稱金鑰 (密鑰) | //GenerateJWT/SecretKey/Value |
以硬式編碼方式設定對稱式加密/簽署金鑰。 |
GenerateJWT |
私密金鑰 | //GenerateJWT/PrivateKey/Value |
用於非對稱簽署的 PEM 編碼私密金鑰。 |
GenerateJWT |
私密金鑰密碼 | //GenerateJWT/PrivateKey/Password |
解密私密金鑰的密碼。 |
GenerateJWS |
對稱金鑰 (密鑰) | //GenerateJWS/SecretKey/Value |
以硬式編碼方式設定對稱式加密/簽署金鑰。 |
GenerateJWS |
私密金鑰 | //GenerateJWS/PrivateKey/Value |
用於非對稱簽署的 PEM 編碼私密金鑰。 |
GenerateJWS |
私密金鑰密碼 | //GenerateJWS/PrivateKey/Password |
解密私密金鑰的密碼。 |
VerifyJWT |
對稱金鑰 (密鑰) | //VerifyJWT/SecretKey/Value |
用於驗證的硬式編碼對稱金鑰。 |
VerifyJWS |
對稱金鑰 (密鑰) | //VerifyJWS/SecretKey/Value |
用於驗證的硬式編碼對稱金鑰。 |
HMAC |
共用密鑰 | //HMAC/SecretKey |
用於計算 HMAC 的硬式編碼密鑰。 |
KeyValueMapOperations |
硬式編碼值 (放置) | //KeyValueMapOperations/Put/Value |
正在將硬式編碼密鑰寫入 KVM。 |
ServiceCallout |
基本驗證使用者名稱 | //ServiceCallout//Authentication/BasicAuth/UserName |
用於後端驗證的硬式編碼使用者名稱。 |
ServiceCallout |
基本驗證密碼** | //ServiceCallout//Authentication/BasicAuth/Password |
後端驗證的硬式編碼密碼。 |
SAMLAssertion |
私密金鑰值 | //SAMLAssertion//PrivateKey/Value |
用於解密/簽署的私密金鑰。 |
SAMLAssertion |
私密金鑰密碼 | //SAMLAssertion//PrivateKey/Password |
解密私密金鑰的密碼。 |
自訂遮罩
如果欄位屬於 PII,但不在預設遮蓋範圍內 (例如政策中的自訂設定),您可以提供自己的 XPath 運算式清單 (自訂遮蓋)。
如要管理自訂遮罩,請更新 Edge for Private Cloud 系統中 uapim-connector.properties 檔案的設定屬性。
設定自訂遮罩
如要新增自訂遮蓋路徑,請更新連接器設定檔中的 conf_uapim_connector.uapim.mask.xpaths 屬性:
- 設定檔路徑:
/opt/apigee/customer/application/uapim-connector.properties - 屬性:
conf_uapim_connector.uapim.mask.xpaths
這項屬性接受以半形逗號分隔的 XPath 運算式清單,用於指定要遮蓋值的特定元素。
設定範例
如要遮蓋自訂變數值和統計資料欄位,請依下列方式設定屬性:
conf_uapim_connector.uapim.mask.xpaths=//StatisticsCollector/Statistics/Statistic[@name='caller'],//StatisticsCollector/Statistics/Statistic[@name='location'],//AssignMessage/AssignVariable[Name='password']/Value
| XPath 運算式 | 元素已遮蔽 | 目的 |
|---|---|---|
//StatisticsCollector/Statistics/Statistic[@name='caller'] |
統計資料值 (name='caller') | 遮蓋機密來電者身分。 |
//AssignMessage/AssignVariable[Name='password']/Value |
AssignVariable Value (其中 Name='password') | 遮蓋硬式編碼密碼值。 |
遮蓋政策
系統會遮蓋目標元素的值。遮蓋後的內容會上傳至 API 中心。
範例政策 1 (StatisticsCollector - 已遮蓋):
<StatisticsCollector name="publishPurchaseDetails"> <Statistics> <Statistic name="caller" type="string">****</Statistic> <Statistic name="location" type="string">****</Statistic> </Statistics> </StatisticsCollector>