アクセス コントロール ポリシーの REST API
Cisco Secure Firewall Management Center API を使用して、アクセスポリシー、アクセスルール、およびその他のアクセス ポリシー オブジェクトを作成および管理できます。このドキュメントでは、基本的なアクセス コントロール ポリシーを管理する手順について説明します。アクセスルールおよびその他のポリシーオブジェクトに関する情報は、このドキュメントの範囲外です。
ポリシー API を使用すると、次のことができます。
-
管理対象ファイアウォールデバイスのアクセス コントロール ポリシーを作成して、不正アクセス、マルウェア感染、データ侵害、およびその他のセキュリティ脅威からネットワークを保護します。
-
(任意)ポリシーをロックして、ルールが別のユーザーによって上書きされないようにします。
-
(任意)継承機能を使用してカスタムポリシーを作成します。
-
(任意)廃止され、不要になったアクセス コントロール ポリシーを削除します。
-
ポリシーを変更するたびに、新しいポリシー設定または変更されたポリシー設定をデバイスに展開します。
使用されるエンドポイントとメソッド
![](/c/dam/en/us/td/i/400001-500000/470001-480000/479001-480000/479912.jpg)
Management Center REST API の重要な用語
-
DomainUUID:グローバルドメイン UUID。この ID は、バージョンに関係なく、すべての Management Center で常に同じになります。Management Center で新しいドメインを作成し、新しく作成したドメインの特定のユーザーを作成すると、新しいドメイン UUID が Management Center の API コンソールに表示されます。
-
ContainerUUID:オブジェクトをスキーマ全体に接続する親オブジェクトの UUID。たとえば、物理インターフェイスを取得するには、次の URL でデバイス ID をコンテナ UUID として使用します。
GET /api/fmc_config/v1/domain/{domain_UUID}/devices/devicerecords/{container_UUID}/fpphysicalinterfaces
-
ObjectID:ターゲットオブジェクトの ID。たとえば、物理インターフェイスの詳細を取得するには、次の URL でインターフェイス ID をオブジェクト ID として使用します。
GET /api/fmc_config/v1/domain/{domain_UUID}/devices/devicerecords/ {container_UUID}/fpphysicalinterfaces/{objectId}
基本的なアクセス コントロール ポリシーの作成
-
トラフィック一致基準:セキュリティゾーン、IP アドレスまたは位置情報、ポート番号、プロトコル、アプリケーションタイプ、URL パターン、URL カテゴリ、URL レピュテーション、およびユーザー。
-
一致するトラフィックに対するアクション:許可、ブロック、信頼、モニター。
-
[許可(Allow)] アクションカテゴリの侵入防御ポリシー、ファイルポリシー、またはその両方。
![]() (注) |
Threat Defense デバイスに割り当てることができるポリシーは 1 つだけです。ただし、複数のデバイスに同じポリシーを割り当てることができます。 |
始める前に
手順
次の URL を使用してアクセス コントロール ポリシーを作成します。
例:
指定した名前と一意の ID でポリシーが作成されます。 |
次のタスク
-
ターゲットデバイスにポリシーを割り当てます。「アクセス コントロール ポリシーのターゲットデバイスの設定」を参照してください。
-
設定変更を展開します。「構成の展開」を参照してください。
アクセス コントロール ポリシーの編集
始める前に
変更または編集するアクセスポリシーが作成されていることを確認します。ポリシーを作成する方法については、「基本的なアクセス コントロール ポリシーの作成」を参照してください。
手順
ステップ 1 |
アクセスポリシーを編集するには、ポリシーの ID が必要です。ID を取得するには、次の URL を使用します。 GET /api/fmc_config/v1/domain/{domainUUID} /policy/accesspolicies 例:
|
||
ステップ 2 |
次の URL を使用してアクセス コントロール ポリシーを編集します。
この例では、Policy 1 のパラメータを編集するために、要求本文のオブジェクト ID としてポリシー ID(00505691-AED0-0ed3-0000-004294990861)を使用します。
|
次のタスク
-
設定変更を展開します。「構成の展開」を参照してください。
アクセス コントロール ポリシーのロック
デフォルトでは、アクセスポリシーはロックされていません。他のユーザーがルールまたは設定を変更できないようにする場合は、それらをロックできます。
始める前に
ロックするアクセスポリシーが作成されていることを確認します。ポリシーを作成する方法については、「基本的なアクセス コントロール ポリシーの作成」を参照してください。
手順
ステップ 1 |
アクセスポリシーをロックするには、ポリシーの ID が必要です。ID を取得するには、次の URL を使用します。
|
ステップ 2 |
アクセスポリシーをロックするには、次の URL を使用します。
要求本文でポリシー ID を指定します。 例:
ポリシーのロックを解除するには、POST メソッドを使用し、要求本文で "lock": "false" を指定します。 ポリシーはロックされ、他のユーザーはポリシーを変更できません。 |
アクセス コントロール ポリシー継承の管理
継承機能を使用すると、1 つのポリシーの一部のベースライン特性を複数のポリシーに適用できます。ポリシーを別のアクセス コントロール ポリシーの基本ポリシーとして使用できます。
手順
ステップ 1 |
ポリシーの既存の継承設定を表示するには、次の URL を使用します。 GET api/fmc_config/v1/domain/{domainUUID}/policy/accesspolicies/ {containerUUID}/inheritancesettings/{objectId} 要求 URL の containerUUID フィールドとオブジェクト ID フィールドにポリシー ID を使用します。 例:
basePolicy—CorePolicy は Policy1 アクセスポリシーによって継承されることに注意してください。 |
ステップ 2 |
継承を変更するには、次の URL を使用します。要求 URL の containerUUID とオブジェクト ID に、変更する基本ポリシーのポリシー ID を使用します。
要求本文で新しい基本ポリシーとして使用するポリシー ID を指定します。 例:
新しい基本ポリシーが Policy1 に適用されます。
|
ステップ 3 |
Policy 1 の新しい継承設定をテストするには、次の URL を使用します。
要求 URL のオブジェクト ID フィールドにポリシー ID を使用します。 例:
|
次のタスク
-
ターゲットデバイスにポリシーを再割り当てします。「アクセス コントロール ポリシーのターゲットデバイスの設定」を参照してください。
-
設定変更を展開します。「構成の展開」を参照してください。
アクセス コントロール ポリシーのターゲットデバイスの設定
デバイスに割り当てることができるポリシーは 1 つだけです。ただし、複数のデバイスに同じポリシーを割り当てることができます。
始める前に
-
デバイスに割り当てるアクセスポリシーが作成されていることを確認します。ポリシーを作成する方法については、「基本的なアクセス コントロール ポリシーの作成」を参照してください。
-
ターゲットデバイスが設定され、有効になっていることを確認します。
手順
ステップ 1 |
ポリシーをデバイスに割り当てるには、デバイス ID とポリシー ID が必要です。 次の URL を使用して、ポリシーを割り当てる必要があるデバイスの ID を取得します。
例:
特定のポリシー ID を取得するには、次の URL を使用します。この URL は、特定のポリシーの ID を識別できるすべてのポリシー ID を返します。
例:
|
||
ステップ 2 |
次の URL を使用してポリシー割り当てを作成します。
例:
|
次のタスク
-
設定変更を展開します。「構成の展開」を参照してください。
アクセス コントロール ポリシーの削除
始める前に
削除するアクセスポリシーがターゲットデバイスから割り当て解除されていることを確認します。ポリシーの削除を続行すると、応答本文に次のエラーが表示されます。
エラー 400:"Policy In Use Policy Policy 1 or its children is assigned to a device in current domain or sub-domain. Please remove the
assignments before attempting to delete."
デバイスに割り当てられているポリシーを正常に削除するには、代替アクセスポリシーを使用してデバイスを再割り当てする必要があります。ポリシーのターゲットデバイスを設定する方法については、「アクセス コントロール ポリシーのターゲットデバイスの設定」を参照してください。
手順
ステップ 1 |
アクセスポリシーを削除するには、ポリシーの ID が必要です。ID を取得するには、次の URL を使用します。
例:
|
ステップ 2 |
次の URL を使用して、アクセスポリシーがデバイスに割り当てられているかどうかを確認します。
[要求URL(Request URL)] でポリシー ID を指定します。 例:
ここで、削除するポリシーにデバイスが割り当てられていることを確認できます。ポリシーにマッピングされているデバイスがない場合は、ステップ 4 に進みます。 |
ステップ 3 |
次の URL を使用して、別のポリシー(たとえば、Policy 1)をターゲットデバイスに再割り当てします。
代替ポリシーの ID を要求 URL のオブジェクト ID として使用します。 例:
|
ステップ 4 |
次の URL を使用してポリシーを削除します。
要求 URL のオブジェクト ID として、削除するポリシーの ID を使用します。 例:
|
構成の展開
新規または変更された設定を展開するには、デバイス ID とバージョンが必要です。
手順
ステップ 1 |
次の URL を使用して、展開可能なデバイスのバージョンを取得します。
例:
|
ステップ 2 |
設定変更を展開します。
バージョン ID とデバイス ID を使用して、要求本文に設定を展開します。 例:
|