管理と監視

API エンドポイント の健康状態を監視するために、API Shield のエンドポイント管理を使用して、パフォーマンスメトリクスを保存、更新、監視します。

エンドポイントを追加 では、顧客が API Discovery から直接エンドポイントを保存するか、手動でメソッド、パス、ホストを指定して追加できます。

これにより、指定されたエンドポイントが管理対象のエンドポイントリストに追加されます。保存したエンドポイントのリストは エンドポイント管理 ページで確認できます。

エンドポイントを保存すると、Cloudflare はそのエンドポイントに関する パフォーマンスデータ の収集を開始します。

ノート

エンドポイントが Cloudflare Workers を使用している場合、メトリクスデータは収集されません。

アクセス

1. Cloudflare ダッシュボード ↗ にログインし、アカウントとドメインを選択します。
2. セキュリティ > API Shield を選択します。
3. エンドポイントを 手動で追加、スキーマ検証 から、または API Discovery から追加します。

API Discovery からエンドポイントを追加

API エンドポイントを Discovery から追加する方法は2つあります。

エンドポイント管理タブから追加

1. エンドポイント管理から、エンドポイントを追加 > Discovery から選択 タブを選択します。
2. 追加したい発見されたエンドポイントを選択します。
3. エンドポイントを追加 を選択します。

Discovery タブから追加

1. エンドポイント管理から、Discovery タブを選択します。
2. 追加したい発見されたエンドポイントを選択します。
3. 選択したエンドポイントを保存 を選択します。

スキーマ検証からエンドポイントを追加

1. スキーマ検証を設定 してスキーマを追加します。
2. スキーマエンドポイントのレビュー で、新しいエンドポイントをエンドポイント管理に保存するためにチェックボックスをオンにします。
3. ドラフトとして保存 または 保存してデプロイ を選択します。スキーマがドラフトとして保存されているか公開されているかに関わらず、エンドポイントは保存されます。

API Shield は、同じホスト、メソッド、パスを持つ重複エンドポイントを探します。重複エンドポイントはエンドポイント管理に保存されません。

ノート

新しいエンドポイントをエンドポイント管理に保存 のチェックを外すと、エンドポイントは追加されません。

手動でエンドポイントを追加

1. エンドポイント管理から、エンドポイントを追加 > 手動で追加 を選択します。
2. ドロップダウンメニューからメソッドを選択し、エンドポイントのパスとホスト名を追加します。
3. エンドポイントを追加 を選択します。

ノート

複数のチェックボックスを選択することで、個別にではなく、一度に複数のエンドポイントを Discovery から追加できます。

手動でエンドポイントを追加する際には、変数フィールドを波括弧で囲むことで指定できます。例：/api/user/{var1}/details または {hostVar1}.example.com。

Cloudflare は以下の形式のホスト名変数をサポートしています：

Unknown macro: {hostVar1}.example.com

.foo.example.com

foo.{hostVar1}.example.com

Unknown macro: {hostVar2}.{hostVar1}.example.com

ホスト名変数は、ドメインフィールド全体を構成し、フィールド内の他のテキストと一緒に使用してはいけません。

以下の形式はサポートされていません：

foo-{hostVar1}.example.com.

Cloudflare が API Shield で変数をどのように使用するかについての詳細は、API Discovery の例を参照してください。

手動でエンドポイントを削除

エンドポイントは1つずつまたは一括で削除できます。

1. エンドポイント管理から、削除したいエンドポイントのチェックボックスを選択します。
2. エンドポイントを削除 を選択します。

エンドポイントスキーマ学習

Cloudflare はトラフィック検査を通じてスキーマパラメータを学習します。エンドポイント管理に保存されたすべてのエンドポイントについて、ホスト名ごとに v3.0.0 形式の OpenAPI スキーマをエクスポートできます。学習したスキーマパラメータも含めることができます。

学習したスキーマで API を保護するには、スキーマ検証 を参照してください。

スキーマをエクスポート

1. Cloudflare ダッシュボード ↗ にログインし、アカウントとドメインを選択します。
2. セキュリティ > API Shield を選択します。
3. エンドポイント管理 に移動します。
4. スキーマをエクスポート を選択し、エクスポートするホスト名を選択します。
5. 学習したパラメータ と レート制限の推奨事項 を含めるかどうかを選択します。
6. スキーマをエクスポート を選択し、ファイルを保存する場所を選択します。

ノート

スキーマは OpenAPI v3.0.0 形式の JSON ファイルとして保存されます。

学習したスキーマには常に含まれるもの：

• サーバーセクションにリストされたホスト名
• ホスト、メソッド、パスごとのすべてのエンドポイント
• 検出されたパス変数

学習したスキーマにはオプションで含まれるもの：

• 検出されたクエリパラメータとその形式
• API Shield のレート制限閾値の推奨事項

エンドポイントパフォーマンス分析

保存された各エンドポイントについて、顧客は以下を確認できます：

• リクエスト数: 時間経過に伴うエンドポイントへのリクエストの総数。
• レート制限の推奨: 10分ごと。これはリクエスト数に基づいています。
• レイテンシ: ミリ秒（ms）単位の平均オリジン応答時間。このメトリクスは、訪問者がリクエストを行ってから、オリジンからの応答を受け取るまでの時間を示します。
• エラーレート 対 全体トラフィック: 4xx、5xx、及びその合計でグループ化。
• レスポンスサイズ: リクエストに返されたレスポンスの平均サイズ（バイト単位）。

ノート

分析を表示している顧客は、過去24時間と7日間の詳細メトリクスビューを切り替えることができます。

Cloudflare API の使用

Cloudflare API を通じてエンドポイント管理と対話できます。詳細については、エンドポイント管理の API ドキュメント を参照してください。

機密データ検出

機密データは、さまざまな個人を特定できる情報や財務データを含みます。Cloudflare は、一般的なデータ損失の脅威に対処するためにこのルールセットを作成し、WAF はオリジンからの HTTP レスポンスボディ内のこのデータを検索できます。

API Shield は、ゾーンが 機密データ検出管理ルールセット にも登録されている場合、エンドポイント管理にリストされた API エンドポイントのレスポンスボディ内に機密データが存在することをユーザーに警告します。

機密データ検出は、当社の高度なアプリケーションセキュリティプランにおいてエンタープライズ顧客に提供されます。

機密データ検出がゾーンに対して有効化されると、API Shield は WAF から過去7日間のファイアウォールイベントをクエリし、エンドポイント管理のテーブル行に通知アイコンを表示します。これは、エンドポイントに対して一致する機密レスポンスがある場合です。

API Shield は、エンドポイント管理のテーブル行を展開して詳細を表示すると、見つかった機密データの種類を表示します。イベントを探索 を選択して、セキュリティイベントで一致したイベントを表示します。

機密データ検出がゾーンに対して有効化された後、機密データ検出ルールセットを閲覧 ↗ できます。このリンクは、機密データ検出が有効化されていない場合は機能しません。