概要
API ハブ コネクタの統合の一環として、API プロキシと Sharedflow バンドルのメタデータ アップロードが API ハブに同期されます。これらのバンドルには、ポリシー構成内に個人を特定できる情報(PII) やその他の機密データが含まれている可能性があります。この機能を使用すると、バンドルが API ハブにアップロードされる前に、特定された PII フィールドをマスキングできるため、Edge for Private Cloud 環境のデータ プライバシーとコンプライアンスを確保できます。
マスキング方法
PII マスキングは、XPath 式 を使用して、バンドル内の XML 形式のポリシー構成内の特定の要素をターゲットに適用されます。この機能は 2 つの部分に分かれています。
デフォルト マスク
Apigee Edge for Private Cloud には、事前定義された組み込みの XPath 式のリスト(デフォルト マスク )が含まれています。このリストは、さまざまなポリシーで PII のソースとなる可能性のあるフィールドを自動的にターゲットにします。
PII のソースとなる可能性のあるフィールドとデフォルト マスク
次の表に、デフォルト マスキングが適用されるポリシーと要素を示します。
| ポリシー名 | 機密要素 | デフォルト マスク XPath | 根拠 |
|---|---|---|---|
BasicAuthentication |
ハードコードされたユーザー名 | //BasicAuthentication/User |
クリアテキストのユーザー ID を直接保存します。 |
BasicAuthentication |
ハードコードされたパスワード | //BasicAuthentication/Password |
クリアテキストのパスワードを直接保存します。 |
GenerateJWT |
対称鍵(シークレット) | //GenerateJWT/SecretKey/Value |
ハードコードされた対称暗号化/署名鍵。 |
GenerateJWT |
秘密鍵 | //GenerateJWT/PrivateKey/Value |
非対称署名用の PEM エンコードされた秘密鍵。 |
GenerateJWT |
秘密鍵のパスワード | //GenerateJWT/PrivateKey/Password |
秘密鍵を復号するためのパスワード。 |
GenerateJWS |
対称鍵(シークレット) | //GenerateJWS/SecretKey/Value |
ハードコードされた対称暗号化/署名鍵。 |
GenerateJWS |
秘密鍵 | //GenerateJWS/PrivateKey/Value |
非対称署名用の PEM エンコードされた秘密鍵。 |
GenerateJWS |
秘密鍵のパスワード | //GenerateJWS/PrivateKey/Password |
秘密鍵を復号するためのパスワード。 |
VerifyJWT |
対称鍵(シークレット) | //VerifyJWT/SecretKey/Value |
検証用のハードコードされた対称鍵。 |
VerifyJWS |
対称鍵(シークレット) | //VerifyJWS/SecretKey/Value |
検証用のハードコードされた対称鍵。 |
HMAC |
共有秘密鍵 | //HMAC/SecretKey |
HMAC 計算用のハードコードされた秘密鍵。 |
KeyValueMapOperations |
ハードコードされた値(Put) | //KeyValueMapOperations/Put/Value |
KVM に書き込まれるハードコードされたシークレット。 |
ServiceCallout |
基本認証のユーザー名 | //ServiceCallout//Authentication/BasicAuth/UserName |
バックエンド認証用のハードコードされたユーザー名。 |
ServiceCallout |
基本認証のパスワード** | //ServiceCallout//Authentication/BasicAuth/Password |
バックエンド認証用のハードコードされたパスワード。 |
SAMLAssertion |
秘密鍵の値 | //SAMLAssertion//PrivateKey/Value |
復号/署名用の秘密鍵。 |
SAMLAssertion |
秘密鍵のパスワード | //SAMLAssertion//PrivateKey/Password |
秘密鍵を復号するためのパスワード。 |
カスタム マスク
PII として識別されたが、デフォルト マスクでカバーされていないフィールド(ポリシーのカスタム構成など)については、独自の XPath 式のリスト(カスタム マスク)を指定できます。
カスタム マスクは、Edge for Private Cloud システムの uapim-connector.properties ファイルの構成プロパティを更新することで管理されます。
カスタム マスクを構成する
カスタム マスキング パスを追加するには、コネクタ構成ファイルの conf_uapim_connector.uapim.mask.xpaths プロパティを更新します。
- 構成ファイルのパス:
/opt/apigee/customer/application/uapim-connector.properties - プロパティ:
conf_uapim_connector.uapim.mask.xpaths
このプロパティには、値をマスキングする特定の要素をターゲットとする XPath 式のカンマ区切りリストを指定します。
構成の例
カスタム変数と統計フィールドの値をマスキングするには、次のようにプロパティを設定します。
conf_uapim_connector.uapim.mask.xpaths=//StatisticsCollector/Statistics/Statistic[@name='caller'],//StatisticsCollector/Statistics/Statistic[@name='location'],//AssignMessage/AssignVariable[Name='password']/Value
| XPath 式 | マスキングされた要素 | 目的 |
|---|---|---|
//StatisticsCollector/Statistics/Statistic[@name='caller'] |
統計値(name='caller' の場合) | 機密性の高い呼び出し元の ID をマスキングします。 |
//AssignMessage/AssignVariable[Name='password']/Value |
AssignVariable の値(Name='password' の場合) | ハードコードされたパスワード値をマスキングします。 |
マスキングされたポリシー
ターゲット要素の値がマスキングされます。このマスキングされたコンテンツは API ハブにアップロードされます。
ポリシーの例 1(StatisticsCollector - マスキング済み):
<StatisticsCollector name="publishPurchaseDetails"> <Statistics> <Statistic name="caller" type="string">****</Statistic> <Statistic name="location" type="string">****</Statistic> </Statistics> </StatisticsCollector>