更新时间:2022-02-21 GMT+08:00

创建访问控制策略

操作场景

访问控制策略是API网关提供的API安全防护组件之一,主要用来控制访问API的IP地址和帐户,您可以通过设置IP地址或帐户的黑白名单来拒绝/允许某个IP地址或帐户访问API。

访问控制策略和API本身是相互独立的,只有将访问控制策略绑定API后,访问控制策略才对绑定的API生效。

  • 每个用户最多可以创建100个访问控制策略。
  • 同一个环境中一个API只能被一个访问控制策略绑定,一个访问控制策略可以绑定多个API。

创建访问控制策略

  1. 登录管理控制台。
  2. 单击管理控制台左上角,然后单击“API网关 APIG”。
  3. 选择“开放API > 访问控制”,进入访问控制策略列表页面。
  4. 单击“创建访问控制策略”,弹出“创建访问控制策略”对话框。
  5. 输入表1如所示信息。

    表1 访问控制策略信息

    信息项

    描述

    策略名称

    访问控制策略的名称。

    限制类型

    控制访问API的类型。

    • IP地址:允许/禁止访问API的IP地址。
    • 帐号名:允许/禁止访问API的帐号名。

    动作

    包括“允许”和“禁止”。

    和“限制类型”配合使用,允许/禁止访问API的IP地址/帐号名。

    IP地址

    输入需要允许或者禁止访问API的IP地址,或IP地址范围。

    仅在“限制类型”为“IP地址”时,需要设置。

    说明:

    允许或禁止访问的IP地址条数,分别可以配置最多100条。

    帐号名

    输入需要允许或者禁止访问API的IAM帐号,仅适用于API的安全认证方式为IAM认证时

    仅在“限制类型”为“帐号名”时,需要设置。支持输入多个账户名,以英文“,”隔开,如aaa,bbb。

    说明:

    仅支持IAM帐号维度的访问控制,不能对单个IAM用户进行访问控制。

  6. 单击“确定”,完成访问控制策略的创建。您可以将相关API绑定到该策略,以实现访问控制。

绑定API

  1. 在“访问控制”页面,通过以下任意一种方法,进入“绑定API”页面。

    • 在待绑定的访问控制策略所在行,单击“绑定API”,进入已绑定API列表页面。单击“绑定API”。
    • 单击策略名称,进入策略详情页面。单击“绑定API”。

  2. 选择“API分组”、“环境”以及“API名称”,筛选所需的API。
  3. 勾选API,单击“绑定”,完成API绑定策略。

    在访问控制策略绑定API后,如果API不需要调用此策略,单击“解除”,解除绑定。如果需要批量解绑API,则勾选待解绑的API,单击“解除”。最多同时解绑1000个API。