检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
API访问控制策略配置的IP地址是否为客户端的IP地址? 访问控制策略的IP地址不一定取客户端的IP地址。 APIG的访问控制是根据$remote_addr的值进行校验。$remote_addr代表客户端的IP,它的值是服务端根据客户端的IP指定的,当客户端访问APIG时,如果中
有配置任何IP地址,则允许任何IP访问。 安全组策略、实例级访问控制策略和API级访问控制策略遵循Deny优先原则。 入口地址 虚拟私有云访问地址 弹性IP地址 如果实例未绑定弹性IP地址,您可以单击地址右侧的“立即启用”,绑定弹性IP地址。 如果实例已绑定弹性IP地址,您可以单击地址右侧的复制地址信息。
配置DNS需要配置“/etc”目录下的resolv.conf文件,指定DNS服务器的IP地址。 内网DNS服务器的IP地址与您所位于的区域相关,您可通过内网DNS地址表获取内网DNS服务器的IP地址。 新增内网DNS服务器有两种方法。 方法一:修改虚拟私有云的子网信息。 方法二:编辑“/etc/resolv
包括“允许”和“禁止”。 和“类型”配合使用,允许/禁止访问API的IP地址/账号名/账号ID。 IP地址 仅当“类型”为“IP地址”时需要配置。 输入允许或者禁止访问API的IP地址,或IP地址范围。 说明: 允许或禁止访问的IP地址条数,分别可以配置最多100条。 账号名 仅当“类型”为“账号名”时需要配置。
对象模型 API发布后,如果不想API被某些IP地址访问到,可以将这些IP地址加入黑名单,或者想API被某些特性的IP地址访问到,也可以将这些IP地址加入白名单。这样可以提高API的访问安全性,保护API免受攻击。本节介绍API的黑白名单(ACL策略)管理的对象模型,如表1 ACL策略对象模型所示。
购买一条连接本地数据中心到华为云API网关(所绑定的虚拟私有云)的云专线,请按以下操作顺序执行: 购买物理连接接入 即购买一条连接本地数据中心与华为云的运营商线路。建议您选择“一站式接入”,华为云负责施工工程。 如果已有数据中心到华为云的物理连接,可直接使用。 创建虚拟网关 虚拟网关用于关联专享版API网关绑定的VPC。
控制访问API的类型。 IP地址:允许/禁止访问API的IP地址。 账号名:允许/禁止访问API的账号名。 动作 包括“允许”和“禁止”。 和“限制类型”配合使用,允许/禁止访问API的IP地址/账号名。 IP地址 输入需要允许或者禁止访问API的IP地址,或IP地址范围。 仅在“限制类型”为“IP地址”时,需要设置。
对象模型 API发布后,如果不想API被某些IP地址访问到,可以将这些IP地址加入黑名单,或者想API被某些特性的IP地址访问到,也可以将这些IP地址加入白名单。这样可以提高API的访问安全性,保护API免受攻击。本节介绍API的黑白名单(ACL策略)管理的对象模型,如表1 ACL策略对象模型所示。
参数 说明 动作 选择访问控制的动作。 允许:表示仅允许指定IP地址的客户端调用API。 禁止:表示禁止指定IP地址的客户端调用API。 IP地址 单击“增加IP地址”,添加允许或禁止调用API的客户端IP地址或IP地址段。 策略配置完成后,单击“确定”。 父主题: 配置凭据策略
0.0/4 255.255.255.255/32 共享版:不支持。后端服务如为相同Region下的弹性云服务器,且弹性云服务器未绑定弹性IP地址,请使用VPC通道,不能直接填写弹性云服务器的私有地址。 父主题: 开放API
如果部署在华为云上的服务绑定了公网IP地址,在API网关中创建API时,使用公网IP地址:端口号作为后端服务地址。如果此服务已绑定域名,则优先使用域名作为后端服务地址。创建API的详细步骤请参见创建API。 如果部署在华为云上的服务无公网IP地址,则将此服务的访问方式设置为VPC
实施步骤 创建VPC 登录网络控制台。 在左侧导航栏选择“虚拟私有云 > 我的VPC”。 在“虚拟私有云”页面,单击“创建虚拟私有云”,请参考表1和表2配置信息。具体操作请参考《虚拟私有云服务用户指南》中的“创建虚拟私有云和子网”章节。 表1 配置信息 参数 配置说明 区域 选择所在的区域,此处选择“华北-北京四”。
华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书 另外,华为云还提供了以下销售许可证及软件著作权证书,供用户下载和参考。具体请查看合规资质证书。 图3 销售许可证&软件著作权证书 父主题: 安全
使用身份认证 创建API时,为API调用增加身份认证,如使用IAM认证或API网关提供的APP认证,防止API被恶意调用。 设置访问控制策略 从IP地址(或地址区间)以及账号等不同维度,设置白名单/黑名单。 将API绑定流控策略,通过流控策略保护API。 API网关默认API流量控制为每
String 实例描述 vpc_id String 虚拟私有云ID。 获取方法如下: 方法1:登录虚拟私有云服务的控制台界面,在虚拟私有云的详情页面查找VPC ID。 方法2:通过虚拟私有云服务的API接口查询,具体方法请参见《虚拟私有云服务API参考》的“查询VPC列表”章节。 subnet_id
登录APIG控制台,在左侧导航栏中选择“实例管理”。 单击实例名称或“查看控制台”。 在“基础信息”页签中,查看入口地址。 虚拟私有云访问地址为VPC内网地址。 弹性IP地址为公网地址。 在DEFAULT分组中添加API。 在APIG控制台的左侧导航栏中,选择“API管理 > API分组”。
公网入口 指允许外部服务通过弹性IP地址,调用实例创建的API。开启“公网入口”,需要绑定一个“弹性IP地址”,弹性IP地址另行收费。 说明: 除墨西哥城一、北京一区域外,在其他区域开启公网入口后,弹性IP地址由网关随机分配,不支持选择已有弹性IP地址。您可以根据业务预估设置合适的
String 实例描述 vpc_id String 虚拟私有云ID。 获取方法如下: 方法1:登录虚拟私有云服务的控制台界面,在虚拟私有云的详情页面查找VPC ID。 方法2:通过虚拟私有云服务的API接口查询,具体方法请参见《虚拟私有云服务API参考》的“查询VPC列表”章节。 subnet_id
实例解绑EIP 功能介绍 实例解绑EIP 调用方法 请参见如何调用API。 URI DELETE /v2/{project_id}/apigw/instances/{instance_id}/eip 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String
可以采用以下两种方式: 创建API时可选取APP认证方式,APP key和APP Secret分享给指定的用户。 使用访问控制策略,按照IP地址或者账号名,只允许符合允许策略的用户调用API。 父主题: API策略
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
