Cet article documente le processus que les transporteurs peuvent utiliser pour mettre en œuvre un programme de rotation des clés API de manière programmatique et/ou utiliser ces étapes pour faire tourner les clés manuellement.
Pourquoi ?
Les meilleures pratiques en matière de sécurité, telles que la rotation des clés API, garantissent que les clients s'alignent sur les normes de l'industrie. La rotation des clés API réduit le risque que celles-ci soient compromises par une multitude de points d'exposition tels que : les entrepreneurs, les scripts, la garde multiple des équipes internes, etc.
Meilleure pratique
La norme industrielle la plus courante pour la rotation des clés API est tous les 180 jours.
Comment ?
Les API Actions de clé API de Hi Marley permettent aux transporteurs de faire tourner leurs clés API de manière programmatique.
Nos APIs Actions de clé API consistent en :
- GET Clé API
- https://{apiBaseUrl}/api/api-key
En-têtes :
x-api-key: {hiMarleyApiKey}Aucun corps
2. POST Clé API
- https://{apiBaseUrl}/api/api-key
En-têtes :
x-api-key: {hiMarleyApiKey}Corps :
{
"NOTES": "<string>" //des notes peuvent être ajoutées pour décrire la clé ; c.-à-d. à quoi elle sert
}
3. Supprimer la clé API
- https://{apiBaseUrl}/api/api-key
En-têtes :
x-api-key: {hiMarleyApiKey}Corps :
{
"API_KEY": "<string>"
}Processus
Si votre transporteur souhaite mettre en œuvre la rotation des clés API, il est important de communiquer et de structurer cette initiative en interne au sein de votre organisation pour garantir :
- Que les parties prenantes clés soient informées.
- Que les systèmes utilisant la clé soient informés de manière programmatique de la date de rotation et reçoivent la nouvelle clé (car l'ancienne sera supprimée/n'est plus active).
- Nous recommandons une période de chevauchement où les deux clés sont actives avant la suppression de l'ancienne clé
- La gestion du processus de rotation des clés API pour tester, surveiller et fournir des mises à jour en cas de problème avec le processus.