API トークンの利用

API トークンは、人間のユーザーと自動化システムが Fastly に身元を証明することを可能にする一意のセキュリティ認証情報です。これにより、信頼できるユーザーであることを示し、Fastly API を介して、制限されたリソースにアクセスしたり、特定の制限された操作を実行したりすることができます。

トークンの種類

API トークンには、ユーザートークンと自動化トークンの2種類があります。

ユーザートークン

ユーザートークンは、人間のユーザーによって開始される API アクティビティに必要なセキュリティ認証情報を提供します。これらは特定の人間のユーザーに関連付けられており、そのユーザーのアカウントが有効な期間にのみ使用できます。 これらのトークンは、「個人用トークン」または「個人用 API トークン」と呼ばれることがあります。

ユーザートークンについては、以下の点に注意してください。

• すべてのユーザーが作成することができ、作成したユーザーのみに適用されます。 更新することはできません。
• これらのトークンは、API 経由でアカウントベースのアクションを実行するユーザーと同じ権限とスコープを持ちます。 例えば、請求担当者のユーザートークンでは請求担当者のロールの機能のみを実行できます。
• 作成したユーザーのアカウントを削除するには、その前にトークンを削除 (無効化) する必要があります。

自動化トークン

自動化トークンは、人間以外のクライアント (継続的インテグレーションやビルドのシステムなど) にセキュリティ認証情報を提供します。このようなクライアントは、統合テストや日常的なスクリプト化されたタスクなど、自動化された API アクティビティの実行を必要とします。

以下の点にご注意ください。

• スーパーユーザーの役割を持つユーザーだけが作成でき、作成する際には sudo モードを使用する必要があります。
• アカウントで SSO の強制または多要素認証が有効になっている場合、API 経由で作成することはできません。
• 人間のユーザーに関連付けられていないため、無期限にアクティブな状態を維持できます。
• Next-Gen WAF の機能やスコープをトリガーしたり、それらに適用されることはありません。

トークンのスコープ

サービスに関連したアクティビティのスコープを指定することで、API トークンの機能を制限することができます。具体的には、以下のように API トークンを許可または制限することができます。

• Global API access (global) が選択されているトークンの場合、サービスを完全にコントロールすることができ、パージを含むすべての API エンドポイントにアクセスできます。
• Purge full cache (purge_all) が選択されているトークンの場合、purge_all API リクエストを通してサービス全体でパージを実行できます。
• Purge select content (purge_select) が選択されているトークンの場合、サロゲートキーや URL を使用してパージを実行できますが、すべてのキャッシュをパージすることはできません。
• Read-only access (global:read) が選択されているトークンの場合、アカウント情報や設定、統計情報を読み取ることのみできます。

一般的な制約事項とベストプラクティス

API トークンの管理および使用時には、以下の制限に留意してください。

• API トークンは作成、表示、削除のみ可能です。編集や更新はできません。
• 各ユーザーにつき、有効な API トークンは100個に制限されています。削除済みおよび期限切れのトークンは、この制限にカウントされません。
• 未使用のトークンは永久に有効ではありません。2年間にわたって未使用状態の API トークンは、有効期限なしに設定されていたとしても自動的に削除されます。
• イベントログには、ユーザーロールに適した API トークンのアクティビティのみが表示されます。 例えば user ロールが割り当てられている場合には、自分のアクションから生じたイベントのみが表示されます。 engineer ロールが割り当てられている場合、自分自身のアクションに関連するすべてのイベントに加えて、アクセスを許可されたサービスに対するすべてのアクションが表示されます。

API トークンを作成する際には、以下のベストプラクティスにも留意してください。

• トークンを機密情報として扱い、安全に保管すること。 新しいトークンを生成するときには、パスワードマネージャーなどの保護された場所に保存し、機密性と安全性を確保する必要があります。セキュリティ上の理由により、トークンをコピーできるのは作成時に一度だけです。後でトークンの文字列を取得することはできません。
• 最小限の特権の付与を検討すること。トークンのサービスへのアクセスの制限、スコープの指定、有効期限の設定により、その認証情報で可能なアクセスを制限し、セキュリティ認証情報が何らかの形で侵害された場合のリスクを最小限に抑えることができます。詳細については、最小特権の原則をご覧ください。

API トークンの作成

API トークンを作成するには、次の手順を実行してください。

ユーザートークンの作成

ユーザートークンを作成するには、次の手順を実行してください。

1. Fastly コントロールパネルにログインします。

2. Account > API tokens > Personal tokens にアクセスします。

3. Create token をクリックします。

4. プロンプトが表示されたら、パスワードを入力して権限を再認証します。

   

5. 以下の説明に従って Create a Token ページの各フィールドに入力します。

   • Name フィールドに、そのトークンが使用される方法と場所を示す、分かりやすい名前を入力します。
   • (オプション) Type オプションが表示される場合は、User token に設定されたままの状態にします。 これらのコントロールは、スーパーユーザーのロールが割り当てられている場合にのみ表示されます。
   • Scope オプションで、1つ以上のチェックボックスにチェックを入れて、トークンのアクセスを特定のスコープに制限します。割り当てられたロールに適用される Scope オプションのみが選択可能になります。 詳細は、ユーザーロールと権限の設定に関するガイドをご覧ください。
   • Access オプションで、すべてのサービスを選択するか、Search or select service メニューで特定のサービスまたはサービスのグループを選択し、トークンのアクセスをそれらのサービスに制限します。
   • Expiration オプションで、トークンの有効期限の範囲を設定します。コントロールパネルは、デフォルトで、有効期限をトークンが作成された日から90日間に設定します。 ただし、トークンの有効期限を無期限に設定することも、期限切れになる特定の日付を選択することもできます。
   ヒント

   トークンの有効期限が切れた後にそのトークンを何らかのリクエストに使用すると、HTTP 401 のレスポンスが返されます。

6. Create Token をクリックして、新しいトークンを作成します。新しいトークンとその作成通知が表示されます。これが、Fastly API を通じて認証を行う際に使用するクレデンシャルになります。同一のトークンを複数のアプリケーションで使用することができます。

7. クリップボード をクリックして API トークンの文字列をコピーし、機密性の高い安全な場所に保存してください。

   警告

   API トークンの文字列が表示されるのは、この時だけです。すぐにコピーして安全な場所に保存してください。二度と表示されることはありません。

8. OK をクリックします。

自動化トークンの作成

自動化トークンを作成するには、次の手順を実行してください。

1. Fastly コントロールパネルにログインします。

2. Account > API tokens > Personal tokens にアクセスします。

3. Create token をクリックします。

4. プロンプトが表示されたら、パスワードを入力して権限を再認証します。

   

5. 以下の説明に従って Create a Token ページの各フィールドに入力します。

   • Name フィールドに、そのトークンが使用される方法と場所を示す、分かりやすい名前を入力します。
   • Type オプションから、Automation token を選択します。
   • Role オプションで、API トークンに適切なアクセス権限を割り当てるユーザーロールを選択します。使用可能なオプションは、Engineer、User および Billing です。 詳細は、ユーザーロールと権限の設定に関するガイドをご覧ください。
   • (オプション) 必要に応じて、TLS management を選択し、トークンに TLS 証明書とドメインを含むすべてのサービスで TLS 設定を変更する権限を付与します。
   • Scope オプションで、1つ以上のチェックボックスにチェックを入れて、トークンのアクセスを特定のスコープに制限します。選択した役割に適用されるスコープオプションのみが選択可能になります。詳細は、ユーザーロールと権限の設定に関するガイドをご覧ください。
   • Access オプションで、すべてのサービスを選択するか、Search or select service メニューで特定のサービスまたはサービスのグループを選択し、トークンのアクセスをそれらのサービスに制限します。
   • Expiration オプションで、トークンの有効期限の範囲を設定します。コントロールパネルは、デフォルトで、有効期限をトークンが作成された日から90日間に設定します。 ただし、トークンの有効期限を無期限に設定することも、期限切れになる特定の日付を選択することもできます。
   ヒント

   トークンの有効期限が切れた後にそのトークンを何らかのリクエストに使用すると、HTTP 401 のレスポンスが返されます。

6. Create Token をクリックして、新しいトークンを作成します。新しいトークンとその作成通知が表示されます。これが、Fastly API を通じて認証を行う際に使用するクレデンシャルになります。同一のトークンを複数のアプリケーションで使用することができます。

7. クリップボード をクリックして API トークンの文字列をコピーし、機密性の高い安全な場所に保存してください。

   警告

   API トークンの文字列が表示されるのは、この時だけです。すぐにコピーして安全な場所に保存してください。二度と表示されることはありません。

8. OK をクリックします。

API トークンの表示

API トークンを表示するには、以下の手順に従ってください。

ユーザートークンの表示

個人のユーザートークンを表示するには、以下の手順に従ってください。

1. Fastly コントロールパネルにログインします。

2. Account > API tokens > Personal tokens にアクセスします。 API Tokens ページにお客様の個人用トークンのリストが表示されます。

   

アカウントトークンの表示

スーパーユーザーのロールが割り当てられている場合、以下の手順でアカウントトークンを表示できます。

1. Fastly コントロールパネルにログインします。

2. Account > API tokens > Account tokens にアクセスします。 Account Tokens ページに、組織の Fastly アカウントに関連付けられたトークンのリストが表示されます。

   

API トークンの削除

ユーザートークンまたは自動化トークンを削除するには、以下の手順に従ってください。

ユーザートークンの削除

作成したユーザートークンを削除するには、次の手順に従ってください。

1. Fastly コントロールパネルにログインします。
2. Account > API tokens > Personal tokens にアクセスします。
3. 削除するトークンを見つけて、ゴミ箱アイコン をクリックします。
4. Delete をクリックして、ユーザートークンを完全に削除します。

アカウントトークンの削除

スーパーユーザーとしてアカウントトークンを削除するか、または別のユーザーのトークンを無効化 (それにより削除) するには、次の手順に従ってください。

1. Fastly コントロールパネルにログインします。
2. Account > API tokens > Account tokens にアクセスします。
3. 削除するトークンを見つけて、ゴミ箱アイコン をクリックします。
4. Delete をクリックして、トークンを完全に削除します。

レガシー API 認証情報

Fastly のアカウントを2017年5月15日以前に作成されている場合、API リクエストの認証に API キー (1つまたは複数の API キー) を使用している可能性があります。このアカウントレベルの認証情報は、global スコープを持ちすべてのサービスにアクセスできる API トークンに移行されました。Global API Token という名前で新規作成されたシンセティックユーザーに割り当てられていました。