检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
安全 责任共担 身份认证与访问控制 服务韧性 认证证书
安全性 API使用合适的认证模式 本条规则是Should类型的扩展规则,可提升API的安全性。 根据具体业务场景,选择API调用的认证模式,具体说明如表1所示。 表1 认证模式说明 认证模式 认证描述 AppKey 在API请求Header或者Query中携带AppId和AppK
安全性 涉及敏感信息或个人隐私数据的API,应提供数据传输和存储过程中的安全机制 本条规则是MUST类型的基本规则,可保障API的安全合规。 API接口参数传输和存储过程中,敏感信息和个人隐私数据禁止明文传输和存储,避免造成敏感信息或个人隐私数据泄露。敏感信息和个人隐私数据包括:
和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题: 安全
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书
数据存储在RDS服务中,RDS实现了AZ容灾方案,数据持续会同步到容灾站点,当生产站点的RDS异常后,容灾站点可以接管业务,保障云服务持续运行。 父主题: 安全
端服务。 访问控制:API网关代理支持通过设置IP地址或账户的黑白名单来禁止/允许某个IP地址或账户访问API,保护后端服务。 父主题: 安全
开启跨域访问 什么是跨域访问 浏览器出于安全性考虑,会限制从页面脚本内发起的跨域访问(CORS)请求,此时页面只能访问同源的资源。而CORS允许浏览器向跨域服务器发送XMLHttpRequest请求,从而实现跨域访问。 图1 跨域访问 浏览器将CORS请求分为两类: 简单请求 简单跨域请求的场景需要满足以下两个条件:
根据下表参数信息,配置安全配置。 表2 安全配置 信息项 描述 安全认证 API认证方式: APP认证:表示由API网关代理负责接口请求的安全认证。推荐使用APP认证方式。 华为IAM认证:表示由IAM对API请求进行安全认证。 无认证:表示API请求不需要认证。 支持简易认证 仅当“安全认证”选择“APP认证”时可配置。
进行转义编码 本条规则是MUST类型的基本规则,可保障API的高可用性。 某些字符,由于有特殊含义或者系统保留,容易被Web应用防火墙或者安全访问控制产品所阻断,导致URI调用不生效,因此不建议在URI中使用,如果必须要用需要用转义编码替换。 转义说明可参考:RFC 2396(Uniform
授权API API在创建后,通过指定授权给某些凭据,让指定凭据能够调用API。 仅在API安全认证方式为“APP认证”时,才支持授权给凭据。 单个凭据最多同时授权1000个API。 也可以参考绑定API,将API授权给凭据,与本章所描述方法并无差别。 前提条件 API已发布。 已创建环境。
概述 API网关代理包括API的创建、发布、下线和删除所经历的完整生命周期过程,为您提供高性能、高可用、高安全的API托管服务,能快速将企业服务能力包装成标准API服务,帮助您轻松构建、管理和部署任意规模的API。借助API网关代理,可以简单、快速、低成本、低风险地实现内部系统集
使用APP认证的API,需要在API网关代理中创建一个凭据,以生成凭据ID和密钥对(Key、Secret)。将创建的凭据绑定API后,才可以使用APP认证调用API。 安全认证方式为“无认证”或“华为IAM认证”的API,无需创建凭据。 创建凭据 进入API中心服务页面。 在左侧导航栏选择“API网关代理 >
I生态。 API治理规范主要从安全、可用性、易用性、可维护性,生命周期管理六个维度针对API生产(API设计/开发/测试)和API开放提供规则建议。 安全:对API的安全认证、涉及敏感信息或个人隐私数据使用和处理提出规范要求或建议,保障API的安全合规。 可用性:对API调用成功
签名密钥策略说明 签名密钥用于后端服务验证API网关代理的身份,在API网关代理请求后端服务时,保障后端服务的安全。 签名密钥由一对Key和Secret组成,签名密钥需要绑定到API才能生效。当签名密钥绑定API后,API网关代理向后端服务发送此API的请求时,会增加相应的签名信
调用API API发布到环境后,即支持被其他用户调用。根据API所使用的安全认证方式不同,调用API的操作有所差异。 约束与限制 如果您使用系统分配的默认子域名访问API,该子域名每天最多可以访问1000次。 前提条件 在调用API前,确保您所在网络与API的访问域名或地址互通。
访问控制策略说明 访问控制策略是API网关代理提供的API安全防护组件之一,主要用来控制访问API的IP地址和账户,您可以通过设置IP地址或账户的黑白名单来禁止/允许某个IP地址或账户访问API。 访问控制策略和API本身是相互独立的,只有将访问控制策略绑定API后,访问控制策略才对绑定的API生效。
exist or has not been published in the environment. 检查域名、方法、路径和注册的API是否一致。 检查API是否发布,如果发布到非生产环境,检查请求X-Stage头是否为发布的环境名。 500 APIC.0103 The backend does
点。 配置健康检查。 表2 基本信息配置 信息项 描述 协议 使用以下协议,对负载中主机执行健康检查。 TCP HTTP HTTPS 默认为TCP协议。 检查端口 健康检查的目标端口。 缺省时为负载中主机的端口号。 正常阈值 判定负载通道中主机正常的依据为:连续检查x成功,x为您设置的正常阈值。
API生产 安全性 可用性 易用性 可维护性 父主题: 规范要求