检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用IAM认证调用API Token认证 AK/SK认证
如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用API网关服务的功能。 本章节为您介绍对用户授权的方法,操作流程如图1所示。 前提条件 给用户组授权之前,请您了解用户组可以添加的表1,并结合实际需求进行选择。
华为云账号具备所有接口的调用权限,如果使用账号下的IAM用户发起API请求时,该IAM用户必须具备调用该接口所需的权限,否则,API请求将调用失败。每个接口所需要的权限,与各个接口所对应的授权项相对应,只有发起请求的IAM用户被授予授权项所对应的策略,该用户才能成功调用该接口。
调用API报“Incorrect IAM authentication information” IAM认证信息错误有: Incorrect IAM authentication information: verify aksk signature fail Incorrect IAM
如果您无法管理您的访问密钥,请联系管理员: 由管理员管理您的访问密钥,方法请参见:管理IAM用户访问密钥。 请管理员为您配置权限或修改访问密钥保护状态。如需配置权限请参见:给IAM用户授权,如需修改访问密钥状态请参见:访问密钥保护。
仅支持配置账号名,对账号名及账号名下的IAM用户名做限制,不支持配置IAM用户名。 可以配置单账号名或多账号名,多账号名以英文格式下的逗号“,”隔开,账号名支持除英文格式下“,”以外的任意ASCII字符,账号名长度限制在1~64个字符,不支持纯数字。
绑定华为IAM认证的API时,租户ID为账号ID,不支持细分到IAM用户维度。 阈值 固定时间段内,此租户访问API的最大值。 不能超过API流量限制值。 单击“确定”,完成特殊租户的添加。 特殊租户流控值和用户流量限制值共同作用时,以特殊租户流控值为准。
说明: 仅支持IAM账号维度的访问控制,不能对单个IAM用户进行访问控制。 单击“确定”,完成访问控制策略的创建。您可以将相关API绑定到该策略,以实现访问控制。 绑定API 在“访问控制”页面,通过以下任意一种方法,进入“绑定API”页面。
配置API的自定义认证 配置API的前端自定义认证 配置API的后端自定义认证 父主题: 管理API
通过IAM,您可以在华为云账号中给员工创建IAM用户,并使用策略来控制员工对API网关资源的访问范围。 如果华为云账号已经能满足您的需求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用API网关服务的其它功能。
Token认证 操作场景 当您使用Token认证方式调用API时,需要获取用户Token并在调用API时将Token值设置到调用请求的“X-Auth-Token”头域中。 调用接口有如下两种认证方式,您可以选择其中一种进行认证鉴权。 Token认证:通过Token认证调用请求。 AK
如果您需要对云上的资源进行精细管理,请使用IAM服务创建IAM用户及用户组,并授权,以使得IAM用户获得具体的操作权限。具体操作请参考创建用户并授权使用APIG。 在创建APIG实例前,确保已存在可用的VPC和子网。
OpenAPI接口 导出分组下所有API 批量导出API 导入API到新分组 导入API到已有分组 父主题: 共享版API(仅存量用户使用)
绑定华为IAM认证的API时,租户ID为账号ID,不支持细分到IAM用户维度,获取账号名和账号ID。 阈值 固定时间段内,此租户访问API的最大值。 不能超过API流量限制值。 单击“确定”,完成特殊租户的添加。 特殊租户流控值和用户流量限制值共同作用时,以特殊租户流控值为准。
APIG.0705 Backend signature calculation failed. 500 计算后端签名失败 联系技术支持 APIG.0802 The IAM user is forbidden in the currently selected region 403 该IAM
怎样保护API的调用安全? 使用身份认证 创建API时,为API调用增加身份认证,如使用IAM认证或API网关提供的APP认证,防止API被恶意调用。 设置访问控制策略 从IP地址(或地址区间)以及账号等不同维度,设置白名单/黑名单。 将API绑定流控策略,通过流控策略保护API。
调试API 操作场景 API创建后需要验证服务是否正常,管理控制台提供调试功能,您可以添加HTTP头部参数与body体参数,调试API接口。 后端路径中含有环境变量的API,不支持调试。 如果API已绑定流控策略,在调试API时,流控策略无效。 前提条件 已创建API分组和分组内的
APIG.0302 The IAM user is not authorized to access the API. 403 IAM用户不允许访问API 检查用户是否被黑白名单限制。
导入API到新分组 功能介绍 通过导入的swagger文件创建新分组和新API。swagger文件支持json以及yaml格式。 URI HTTP/HTTPS请求方法以及URI如下表所示。 表1 请求方法 URI POST /v1.0/apigw/openapi URI中的参数说明如下表所示
SDK API网关开放的API,安全认证方式可选IAM认证、APP认证、自定义认证或无认证。四者的区别以及如何选择,请参考调用API。 本章节主要提供APP认证的SDK下载以及文档。IAM认证请参考“使用IAM认证调用API”章节。 操作场景 API使用APP认证时,请根据需要下载
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
