配置访问控制策略

概述

访问控制可控制访问API的IP地址和账户，保护后端服务。您可以创建访问控制策略，允许/禁止某个IP地址或账号访问绑定策略的API。

访问控制策略和API本身是相互独立的，只有将API绑定访问控制策略后，访问控制策略才对API生效。

同一个API在同一个环境中只能绑定一个相同限制类型的访问控制策略，一个访问控制策略可以绑定多个API。

创建访问控制策略

1. 登录ROMA Connect控制台，在“实例”页面单击实例上的“查看控制台”，进入实例控制台。
2. 在左侧的导航栏选择“服务集成 APIC > API管理”，在“访问控制”页签中单击“创建访问控制策略”。
3. 在创建访问控制策略弹窗中配置策略信息。

   表1 访问控制策略配置

   参数	配置说明
   策略名称	填写访问控制策略的名称，根据规划自定义。建议您按照一定的命名规则填写访问控制策略名称，方便您快速识别和查找。
   限制类型	选择访问控制策略的限制类型。 IP地址：限制可调用API的IP地址。 账号名：仅适用IAM认证类型的API，限制可用于调用API的账号。仅支持配置账号名，对账号及账号下的IAM用户做限制，不支持配置IAM用户名。 Site实例中，不支持选择“账号名”。
   动作	选择访问控制的动作，与“限制类型”配合使用。 允许：表示仅允许指定的IP地址或账号调用API。 禁止：表示禁止指定的IP地址或账号调用API。
   IP地址	仅当“限制类型”选择“IP地址”时需要配置。 单击“增加IP地址”，添加允许或禁止调用API的IP地址或IP地址段。
   账号名	仅当“限制类型”选择“账号名”时需要配置。 填写允许或禁止调用API的账号名，多个账号名之间使用英文逗号（,）隔开。 您可以单击控制台右上角的用户名，选择“我的凭证”，在我的凭证页面获取用户的账号名。 须知： Site实例中配置访问控制策略时，限制类型不支持“账号名”，故无此项配置。

4. 完成后单击“确定”，创建访问控制策略。

   访问控制策略创建后，您还需要为API绑定访问控制策略，才能使流控策略对API生效。

为API绑定访问控制策略

1. 登录ROMA Connect控制台，在“实例”页面单击实例上的“查看控制台”，进入实例控制台。
2. 在左侧的导航栏选择“服务集成 APIC > API管理”，在“访问控制”页签中单击访问控制策略后的“绑定API”。
3. 在访问控制绑定API页面中，单击“绑定API”。
4. 在绑定API弹窗中，勾选指定环境下要绑定访问控制策略的API。

   您可以通过指定API分组、环境和API名称，筛选所需API。

5. 单击“绑定”，完成API与访问控制策略的绑定。