Azure API Management でプロトコルと暗号を管理する
適用対象: すべての API Management レベル
Azure API Management では、次の API トラフィックをセキュリティで保護するために複数バージョンのトランスポート層セキュリティ (TLS) プロトコルがサポートされています。
- クライアント側
- バックエンド側
API Management では、API ゲートウェイで使用される複数の暗号スイートもサポートされます。
API Management は既定で、クライアントとバックエンドの接続と、サポートされているいくつかの暗号スイートに対して TLS 1.2 を有効にします。 このガイドでは、Azure API Management インスタンスのプロトコルと暗号の構成を管理する方法について説明します。
注意
- セルフホステッド ゲートウェイを使用している場合は、セルフホステッド ゲートウェイのセキュリティに関する記事を参照して、TLS プロトコルと暗号スイートを管理してください。
- 次のレベルでは、既定の暗号構成の変更はサポートされていません: 従量課金、Basic v2、Standard v2。
- ワークスペースでは、マネージド ゲートウェイは既定のプロトコルと暗号構成の変更をサポートしていません。
前提条件
- API Management インスタンス。 まだない場合は、作成してください。
API Management インスタンスに移動します。
Azure portal で、[API Management サービス] を検索して選択します。
![[API Management サービス] を選択する](../includes/media/api-management-navigate-to-instance/view-apim-1.png)
[API Management サービス] ページで、ご自身の API Management インスタンスを選択します。
TLS プロトコルと暗号スイートを管理する方法
- API Management インスタンスの左側のナビゲーションで、[セキュリティ] の下にある [プロトコルと暗号] を選択します。
- プロトコルまたは暗号を有効または無効にします。
- [保存] を選択します。
変更の適用には 1 時間以上かかる場合があります。 開発者サービス レベルのインスタンスでは、処理中にダウンタイムが発生します。 Basic 以上のレベルのインスタンスでは、処理中にダウンタイムが発生しません。
注意
一部のプロトコルや暗号スイート (バックエンド側 TLS 1.2 など) は、Azure portal からは有効にしたり無効にしたりすることができません。 代わりに、REST API 呼び出しを適用する必要があります。 API Management サービスの作成または更新 REST API に関する記事にある properties.customProperties 構造を使用します。
次のステップ
- API Management インスタンスのセキュリティ保護に関する推奨事項については、「API Management 用の Azure セキュリティ ベースライン」を参照してください。
- API Management ランディング ゾーン アクセラレータに関するページでセキュリティに関する考慮事項を確認してください。
- TLS の詳細を参照してください。