主要な概念

# 主要な概念

Security Rulesで定義を設定する前に、その基本的な概念を詳しく理解してください。

### Security Rulesで利用可能な設定

Security Rulesでは、JSONファイル内の各パラメータの値を定義することで、プロジェクト内の各Basic I/OおよびAdvanced I/O FunctionのHTTPアクセスと認証を設定できます。

各ファンクションのパラメータ定義に設定可能な値は以下の通りです。

<table class="content-table">
<thead>
<tr>
<th>利用可能なパラメータ</th>
<th>許可される値</th>
</tr>
</thead>
<tbody>
<tr>
<td>methods</td>
<td>GET, POST, DELETE, PUT, PATCH</td>
</tr>
<tr>
<td>authentication</td>
<td>optional, required</td>
</tr>
</tbody>
</table>

#### Methods

{{%badge%}}methods{{%/badge%}}パラメータでは、ファンクションにアクセスするために使用できるHTTPメソッドを定義できます。Catalystはデフォルトで{{%badge%}}GET{{%/badge%}}、{{%badge%}}POST{{%/badge%}}、{{%badge%}}DELETE{{%/badge%}}、{{%badge%}}PUT{{%/badge%}}、{{%badge%}}PATCH{{%/badge%}}メソッドをサポートしています。

特定のファンクションのJSONファイルからメソッドを{{%link href="/ja/serverless/help/security-rules/implementation/#modify-definitions-in-security-rules" %}}削除{{%/link%}}すると、エンドユーザーはそのHTTPメソッドでファンクションをトリガーできなくなります。例えば、{{%badge%}}POST{{%/badge%}}メソッドを削除すると、ユーザーはそのメソッドを使用してファンクション呼び出しで入力値を渡すことができなくなります。また、ファンクションに対して{{%badge%}}GET{{%/badge%}}メソッドを削除すると、ユーザーは{{%link href="/ja/serverless/help/functions/basic-io/#function-url" %}}Basic I/O{{%/link%}}または{{%link href="/ja/serverless/help/functions/advanced-io/#function-url" %}}Advanced I/O{{%/link%}}ファンクションURLを呼び出すことができなくなります。

そのため、ファンクションの呼び出しに許可するHTTPメソッドをカスタマイズし、セキュリティ向上のために不要なメソッドを削除できます。

#### Authentication

{{%badge%}}authentication{{%/badge%}}パラメータでは、ファンクションへのアクセスに対する認証を有効または無効にできます。特定のファンクションを呼び出す際にユーザーがIDの認証を必要とするかどうかを定義します。{{%badge%}}authentication{{%/badge%}}パラメータは、ファンクション作成時にデフォルトですべてのファンクションに対して{{%badge%}}optional{{%/badge%}}に設定されます。

ファンクションに対してこのパラメータが{{%badge%}}optional{{%/badge%}}に設定されている場合、すべてのユーザーが認証チェックなしでファンクションのURLにアクセスできます。そのため、ファンクションURLはグローバルにアクセス可能となり、Catalystからの制限なしにすべてのファンクション呼び出しが許可されます。

認証済みユーザーのみにアクセスを制限しセキュリティを向上させるには、パラメータを{{%badge%}}required{{%/badge%}}に設定します。これにより、ユーザーがファンクションを呼び出す際にCatalystが認証チェックを実行するよう指示されます。

Security Rulesは2種類の認証方法をサポートしています。

* {{%bold%}}Catalystユーザー認証:{{%/bold%}}

この認証方法は、デフォルトで{{%link href="/ja/cloud-scale/help/authentication/introduction/" %}}Catalyst Authentication{{%/link%}}に追加されたCatalystアプリケーションのすべてのユーザーにアクセスを有効にします。Catalystアプリケーションにユーザーサインインフォームを組み込み、ログインセッションを有効にすることで、この認証方法を処理できます。{{%link href="/ja/cloud-scale/help/authentication/user-management/users/introduction/" %}}アプリユーザー{{%/link%}}は、追加のユーザー検証なしに自動的にファンクションを呼び出すことができます。

* {{%bold%}}OAuthベース認証:{{%/bold%}}

この認証方法は、OAuthアクセストークンを持つユーザーにアクセスを有効にします。以下の例に示すように、ファンクション呼び出しリクエストでアクセストークンをヘッダーとして渡すことができます。

{{%code class="language-bash"%}}curl -X POST \
https://shipmenttracking-61317105.zohocatalyst.com/CustomerPortal/create \
-H "Authorization: Zoho-oauthtoken 1000.910*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*16.2f*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*57"
{{%/code%}}

CatalystアプリケーションでOAuth認証を実装するには、詳細な手順について{{%link href="/ja/api/oauth2/overview-and-terminology/#OverviewandTerminology" %}}OAuth認証ヘルプドキュメント{{%/link%}}を参照してください。

### Basic I/OおよびAdvanced I/O FunctionsのSecurity Rules設定

Basic I/O Functionのセキュリティルール定義は、ファンクション作成時に以下のデフォルト値で設定されます。

{{%code class="language-json"%}}"functions": {
        "LogDelivery": {
            "methods": [
                "GET",
                "POST",
                "DELETE",
                "PUT",
                "PATCH"
            ],
            "authentication": "optional"
        }
    }
{{%/code%}}

Advanced I/O Functionのセキュリティルール定義は、ファンクション作成時に以下のデフォルト値で設定されます。

{{%code class="language-json"%}}"advancedio": {
        "CustomerPortal": [
            {
                ".*": {
                    "methods": [
                        "GET",
                        "POST",
                        "DELETE",
                        "PUT",
                        "PATCH"
                    ],
                    "authentication": "optional"
                }
            }
        ]
    }{{%/code%}}

デフォルトでは、ワイルドカードパターン{{%badge%}}{{%bold%}}.\*{{%/bold%}}{{%/badge%}}がCatalystによってAdvanced I/O Functionの設定定義に使用され、これらの定義がAdvanced I/O Functionに作成された{{%link href="/ja/serverless/help/functions/advanced-io/" %}}すべてのルート{{%/link%}}に適用されることを示します。

Advanced I/O Functionで定義された各ルートに対して個別に異なる定義を設定できます。例えば、ファンクション内に{{%badge%}}/vendor{{%/badge%}}と{{%badge%}}/customer{{%/badge%}}という2つのルートを定義している場合、各ルートの特定のメソッドと認証を以下のように独立して有効化・無効化できます。

{{%code class="language-json"%}}"advancedio": {
        "CustomerPortal": [
            {
                "/vendor": {
                    "methods": [
                        "GET",
                        "POST",
                        "PUT"
                    ],
                    "authentication": "required"
                },
                "/customer": {
                    "methods": [
                        "GET",
                        "POST",
                        "DELETE",
                        "PUT",
                        "PATCH"
                    ],
                    "authentication": "optional"
                }
            }
        ]
    }
{{%/code%}}

### Security Rulesに対するAPI Gatewayの利点

Security Rules機能はファンクションの基本的なルーティングと認証機能の設定を定義しますが、{{%link href="/ja/cloud-scale/help/api-gateway/introduction/" %}}API Gateway{{%/link%}}では個別のAPIの作成、ルーティングと認証のカスタマイズの柔軟性の向上、および追加機能が提供されます。

Security Rulesに対するAPI Gatewayの利点には以下が含まれます。

* Security RulesがサポートするHTTPメソッドに加えて、すべてのHTTPメソッドを{{%badge%}}ANY{{%/badge%}}という単一のメソッドに集約し、API Gatewayでそのための単一のAPIを作成できます。
* カスタムリクエストURLとターゲットURLを設定し、各URLの各リクエストメソッドに対して個別のAPIを作成できます。
* CatalystユーザーパスワードとOAuth認証に加えて、API GatewayはAPIキーによる認証もサポートしています。
* 個別のAPIごとにスロットリングを設定できます。
* WebクライアントのAPIを作成し、その定義を設定することもできます。

Security Rulesで定義を設定する前に、その基本的な概念を詳しく理解してください。

Security Rulesで利用可能な設定

各ファンクションのパラメータ定義に設定可能な値は以下の通りです。

利用可能なパラメータ	許可される値
methods	GET, POST, DELETE, PUT, PATCH
authentication	optional, required

Methods

methodsパラメータでは、ファンクションにアクセスするために使用できるHTTPメソッドを定義できます。CatalystはデフォルトでGET、POST、DELETE、PUT、PATCHメソッドをサポートしています。

特定のファンクションのJSONファイルからメソッドを削除すると、エンドユーザーはそのHTTPメソッドでファンクションをトリガーできなくなります。例えば、POSTメソッドを削除すると、ユーザーはそのメソッドを使用してファンクション呼び出しで入力値を渡すことができなくなります。また、ファンクションに対してGETメソッドを削除すると、ユーザーはBasic I/OまたはAdvanced I/OファンクションURLを呼び出すことができなくなります。

そのため、ファンクションの呼び出しに許可するHTTPメソッドをカスタマイズし、セキュリティ向上のために不要なメソッドを削除できます。

Authentication

authenticationパラメータでは、ファンクションへのアクセスに対する認証を有効または無効にできます。特定のファンクションを呼び出す際にユーザーがIDの認証を必要とするかどうかを定義します。authenticationパラメータは、ファンクション作成時にデフォルトですべてのファンクションに対してoptionalに設定されます。

ファンクションに対してこのパラメータがoptionalに設定されている場合、すべてのユーザーが認証チェックなしでファンクションのURLにアクセスできます。そのため、ファンクションURLはグローバルにアクセス可能となり、Catalystからの制限なしにすべてのファンクション呼び出しが許可されます。

認証済みユーザーのみにアクセスを制限しセキュリティを向上させるには、パラメータをrequiredに設定します。これにより、ユーザーがファンクションを呼び出す際にCatalystが認証チェックを実行するよう指示されます。

Security Rulesは2種類の認証方法をサポートしています。

Catalystユーザー認証:

この認証方法は、デフォルトでCatalyst Authenticationに追加されたCatalystアプリケーションのすべてのユーザーにアクセスを有効にします。Catalystアプリケーションにユーザーサインインフォームを組み込み、ログインセッションを有効にすることで、この認証方法を処理できます。アプリユーザーは、追加のユーザー検証なしに自動的にファンクションを呼び出すことができます。
OAuthベース認証:

この認証方法は、OAuthアクセストークンを持つユーザーにアクセスを有効にします。以下の例に示すように、ファンクション呼び出しリクエストでアクセストークンをヘッダーとして渡すことができます。

copy

         curl -X POST \
https://shipmenttracking-61317105.zohocatalyst.com/CustomerPortal/create \
-H "Authorization: Zoho-oauthtoken 1000.910*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*16.2f*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*57"

CatalystアプリケーションでOAuth認証を実装するには、詳細な手順についてOAuth認証ヘルプドキュメントを参照してください。

Basic I/OおよびAdvanced I/O FunctionsのSecurity Rules設定

Basic I/O Functionのセキュリティルール定義は、ファンクション作成時に以下のデフォルト値で設定されます。

copy

         "functions": {
        "LogDelivery": {
            "methods": [
                "GET",
                "POST",
                "DELETE",
                "PUT",
                "PATCH"
            ],
            "authentication": "optional"
        }
    }

    

Advanced I/O Functionのセキュリティルール定義は、ファンクション作成時に以下のデフォルト値で設定されます。

copy

         "advancedio": {
        "CustomerPortal": [
            {
                ".*": {
                    "methods": [
                        "GET",
                        "POST",
                        "DELETE",
                        "PUT",
                        "PATCH"
                    ],
                    "authentication": "optional"
                }
            }
        ]
    }
    

デフォルトでは、ワイルドカードパターン.*がCatalystによってAdvanced I/O Functionの設定定義に使用され、これらの定義がAdvanced I/O Functionに作成されたすべてのルートに適用されることを示します。

Advanced I/O Functionで定義された各ルートに対して個別に異なる定義を設定できます。例えば、ファンクション内に/vendorと/customerという2つのルートを定義している場合、各ルートの特定のメソッドと認証を以下のように独立して有効化・無効化できます。

copy

         "advancedio": {
        "CustomerPortal": [
            {
                "/vendor": {
                    "methods": [
                        "GET",
                        "POST",
                        "PUT"
                    ],
                    "authentication": "required"
                },
                "/customer": {
                    "methods": [
                        "GET",
                        "POST",
                        "DELETE",
                        "PUT",
                        "PATCH"
                    ],
                    "authentication": "optional"
                }
            }
        ]
    }

    

Security Rulesに対するAPI Gatewayの利点

Security Rules機能はファンクションの基本的なルーティングと認証機能の設定を定義しますが、API Gatewayでは個別のAPIの作成、ルーティングと認証のカスタマイズの柔軟性の向上、および追加機能が提供されます。

Security Rulesに対するAPI Gatewayの利点には以下が含まれます。

Security RulesがサポートするHTTPメソッドに加えて、すべてのHTTPメソッドをANYという単一のメソッドに集約し、API Gatewayでそのための単一のAPIを作成できます。
カスタムリクエストURLとターゲットURLを設定し、各URLの各リクエストメソッドに対して個別のAPIを作成できます。
CatalystユーザーパスワードとOAuth認証に加えて、API GatewayはAPIキーによる認証もサポートしています。
個別のAPIごとにスロットリングを設定できます。
WebクライアントのAPIを作成し、その定義を設定することもできます。

最終更新日 2026-03-05 11:43:24 +0530 IST

Yes

Thank you for your feedback!

Send your feedback to us

Skip

Submit