Cet article documente le processus que les transporteurs peuvent utiliser pour mettre en œuvre un programme de rotation des clés API de manière programmatique et/ou utiliser ces étapes pour effectuer la rotation manuellement.
Pourquoi ?
Les meilleures pratiques de sécurité, telles que la rotation des clés API, garantissent que les clients s'alignent sur les normes de l'industrie. La rotation des clés API réduit le risque que celles-ci soient compromises par de nombreux points d'exposition tels que : les entrepreneurs, les scripts, la gestion multicustodie par des équipes internes, etc.
Meilleure pratique
La norme de l'industrie la plus courante pour la rotation des clés API est tous les 90 jours.
Comment ?
Les API 'Actions de clés API' de Hi Marley permettent aux transporteurs de faire tourner leurs clés API de manière programmatique.
Nos API Actions de clés API se composent des éléments suivants :
- Récupérer la clé API
- https://{apiBaseUrl}/api/api-key
En-têtes :
x-api-key: {hiMarleyApiKey}Aucun corps
2. Ajouter une clé API
- https://{apiBaseUrl}/api/api-key
En-têtes :
x-api-key: {hiMarleyApiKey}Corps :
{
"NOTES": "<string>" //des notes peuvent être ajoutées pour décrire la clé, c.-à-d. son utilité
}
3. Supprimer la clé API
- https://{apiBaseUrl}/api/api-key
En-têtes :
x-api-key: {hiMarleyApiKey}Corps :
{
"API_KEY": "<string>"
}Processus
Si votre transporteur souhaite mettre en œuvre une rotation des clés API, il est important de communiquer et de structurer cette initiative en interne au sein de votre organisation afin de garantir :
- Que les parties prenantes clés soient informées.
- Que les systèmes utilisant la clé soient informés de manière programmatique de la date de rotation et reçoivent la nouvelle clé (puisque l'ancienne sera supprimée/ne sera plus active).
- Nous recommandons une période de chevauchement où les deux clés sont actives avant la suppression de l'ancienne clé
- La gestion du processus de rotation des clés API pour tester, surveiller et fournir des mises à jour si un problème survient dans le processus.
Commentaires
0 commentaire
Vous devez vous connecter pour laisser un commentaire.