检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
创建签名密钥 功能介绍 为了保护API的安全性,建议租户为API的访问提供一套保护机制,即租户开放的API,需要对请求来源进行认证,不符合认证的请求直接拒绝访问。 其中,签名密钥就是API安全保护机制的一种。 租户创建一个签名密钥,并将签名密钥与API进行绑定,则API网关在请求这
streaming RPC) 发送单个请求,接收多个响应。 客户端流式 RPC (Client streaming RPC) 发送多个请求,接收单个响应。 双向流式 RPC(Bi-directional streaming RPC) 发送多个请求,接收多个响应。 发送单个请求,接收单个响应。 当您
下的APP认证的API可以使用IP地址调用。 backend_client_certificate 后端双向认证开关,默认关闭。启用后,创建API配置后端服务时,可配置后端双向认证。 ssl_ciphers 支持配置https加密套件,默认所有的加密套件全部支持。当您绑定独立域名后,可根据需要选择支持的加密套件。
身份认证与访问控制 身份认证 服务认证:APIG提供AKSK、Token等多种方式进行服务认证,只允许授权的访问。 自定义认证:APIG支持用户以函数自定义API认证方式,丰富鉴权逻辑。 证书校验:APIG支持对后端服务进行证书校验。 身份认证:APIG提供签名密钥进行后端访问身份认证。
使用以下协议,对负载中主机执行健康检查。 TCP HTTP HTTPS 默认为TCP协议。 双向认证 仅在协议为“HTTPS”时,需要设置。 开启后,API网关将认证API后端服务。双向认证所需的证书配置说明,请参考配置参数。 路径 仅在协议不为“TCP”时,需要设置。 健康检查时的目标路径。
怎样保证API网关调用后端服务器的安全? 通过以下方法确保API网关调用后端服务器的安全: 为API绑定签名密钥。 在绑定签名密钥后,API网关到后端服务的请求增加签名信息,后端服务收到请求后计算签名信息,验证计算后的签名信息与API网关的签名信息是否一致。 使用HTTPS对请求进行加密。
在选择SSL证书弹窗中勾选要绑定的SSL证书,然后单击“确定”,完成SSL证书的绑定。 如果选择的SSL证书上传过CA证书,可以勾选“开启客户端认证”即开启HTTPS双向认证。注意,开启/关闭客户端认证会对现有业务有影响,请谨慎操作。 如果证书列表中无可用的SSL证书,可单击“创建SSL证书”,新增SSL证书,具体操作配置请参考创建SSL证书。
配置了身份认证的API,如何在特殊场景下(如指定IP地址)允许不校验身份? 认证方式不能基于某个特殊场景进行选择性认证。 方案1:创建API时选择无认证方式,然后利用“访问控制策略”功能进行IP白名单过滤,使得所有调用都不需要校验身份。 方案2:考虑拆分成2个API,其中一个使用
授权区域。 权限根据授权精细程度分为角色和策略,策略是角色的升级版。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角
基本概念 API API(Application Programming Interface,应用程序编程接口)是一些预先定义的函数,应用将自身的服务能力封装成API,并通过API网关开放给用户调用。 API包括基本信息、前后端的请求路径和参数以及请求相关协议。 API分组 AP
步骤4:添加签名信息到请求头 在计算签名后,将它添加到Authorization的HTTP消息头。Authorization消息头未包含在已签名消息头中,主要用于身份验证。 伪代码如下: Authorization header创建伪码: Authorization: algorithm Access=APP
认证鉴权 调用接口有如下两种认证方式,您可以选择其中一种进行认证鉴权。 AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。推荐使用AK/SK认证,其安全性比Token认证要高。 Token认证:通过Token认证调用请求。
当值为0时,不重试。 使用负载通道时,重试次数应小于负载通道中已启用的后端服务器个数。 TLS双向认证 仅在协议为“HTTPS”时,可设置。 选择是否在API网关和后端服务间启用双向认证,如果选择“使用backend_client_certificate配置的证书做客户端认证”
API访问控制 怎样给指定的用户开放API 配置了身份认证的API,如何在特殊场景下(如指定IP地址)允许不校验身份? 访问控制策略的IP地址是否取的客户端的IP地址? 父主题: API控制策略
创建并使用签名密钥 操作场景 签名密钥用于后端服务验证API网关的身份,在API网关请求后端服务时,保障后端服务的安全。 签名密钥是由一对Key和Secret组成,签名密钥需要绑定到API才能生效。当签名密钥绑定API后,API网关向后端服务发送此API的请求时,会增加相应的签名
配置API的后端服务签名校验 签名密钥用于后端服务验证API网关的身份,在API网关请求后端服务时,保障后端服务的安全。 签名密钥由一对Key和Secret组成,签名密钥需要绑定到API才能生效。当签名密钥绑定API后,API网关向后端服务发送此API的请求时,会增加相应的签名信
操作流程 开启重定向 开启重定向功能的API的前端请求协议必须为“HTTPS”或“HTTP&HTTPS”。 验证重定向 验证重定向功能是否生效。 父主题: 使用APIG专享版实现http到https自动重定向
怎样保护API? 使用身份认证 创建API时,为API调用增加身份认证,如使用IAM认证或API网关提供的APP认证,防止API被恶意调用。 设置访问控制策略 从IP地址(或地址区间)以及账号等不同维度,设置白名单/黑名单。 将API绑定流控策略,通过流控策略保护API。 API
PLAINTEXT:默认接入点的用户认证协议。 SASL_PLAINTEXT:SASL用户认证协议。 SASL_SSL:SSL用户认证协议。 消息收发机制 目标Kafka的消息收发机制,默认为PLAIN。 SASL用户名 仅当“安全协议”选择“SASL_PLAINTEXT”或“SASL_SSL”时需配置。 SASL或SSL认证所使用的用户名。
API、环境、应用(凭据)之间的关系? API可以被发布到不同的环境中。比如RELEASE和BETA两个环境,分别代表线上和测试环境。 应用(凭据)指代一个API调用者的身份。创建应用(凭据)时,系统会自动生成用于认证该身份的应用(凭据)key&secret。将指定的API授权给