更新时间:2023-11-29 GMT+08:00
分享

配置API的访问控制

访问控制可控制访问API的IP地址和账户,保护后端服务。您可以创建访问控制策略,允许/禁止某个IP地址或账号访问绑定策略的API。

访问控制策略和API本身是相互独立的,只有将API绑定访问控制策略后,访问控制策略才对API生效。

约束与限制

同一个API在同一个环境中只能绑定一个相同限制类型的访问控制策略,一个访问控制策略可以绑定多个API。

创建访问控制策略

  1. 登录ROMA Connect控制台,在“实例”页面单击实例上的“查看控制台”,进入实例控制台。
  2. 在左侧的导航栏选择“服务集成 APIC > API策略”,在“策略管理”页签下单击“创建策略”。
  3. 在选择策略类型弹窗中选择“传统策略 > 访问控制”。
  4. 在配置访问控制弹窗中配置策略信息。
    表1 访问控制策略配置

    参数

    说明

    策略名称

    填写访问控制策略的名称,根据规划自定义。建议您按照一定的命名规则填写访问控制策略名称,方便您快速识别和查找。

    类型

    选择访问控制策略的限制类型。

    • IP地址:限制可调用API的IP地址。
    • 账号名:仅适用IAM认证类型的API,限制可用于调用API的账号。

      仅支持配置账号名,对账号及账号下的IAM用户做限制,不支持配置IAM用户名。

      Site实例中,不支持选择“账号名”。

    • 账号ID:仅适用IAM认证类型的API,限制可用于调用API的账号。

      仅支持配置账号ID,对账号及账号下的IAM用户做限制,不支持配置IAM用户ID。

      Site实例中,不支持选择“账号ID”。

    动作

    选择访问控制的动作,与“限制类型”配合使用。

    • 允许:表示仅允许指定的IP地址或账号调用API。
    • 禁止:表示禁止指定的IP地址或账号调用API。

    IP地址

    仅当“类型”选择“IP地址”时需要配置。

    单击“增加IP地址”,添加允许或禁止调用API的IP地址或IP地址段。

    账号名

    仅当“类型”选择“账号名”时需要配置。

    填写允许或禁止调用API的账号名,多个账号名之间使用英文逗号(,)隔开。

    您可以单击控制台右上角的用户名,选择“我的凭证”,在API凭证页面获取用户的账号名。

    账号ID

    仅当“类型”选择“账号ID”时需要配置。

    填写允许或禁止调用API的账号ID,多个账号名之间使用英文逗号(,)隔开。

    您可以单击控制台右上角的用户名,选择“我的凭证”,在API凭证页面获取用户的账号ID。

  5. 完成后单击“确定”,创建访问控制策略。

    访问控制策略创建后,您还需要为API绑定访问控制策略,才能使流控策略对API生效。

为API绑定访问控制策略

  1. 在“策略管理”页签右上角的过滤条件中选择“访问控制”。
  2. 在页面中单击策略的名称,进入策略详情页面。
  3. 在“关联API”下选择要绑定API的环境,然后单击“绑定API”。
  4. 在绑定API弹窗中,勾选要绑定策略的API。

    您可以通过指定API分组和API名称,筛选所需API。

  5. 单击“确定”,完成API与访问控制策略的绑定。

相关文档