為保證您資源的資料安全,API Gateway提供執行個體層級的存取控制,您可以分別配置針對IPv4和IPv6的存取控制策略組應用於執行個體,僅專享執行個體支援配置執行個體層級存取控制策略,並且僅對公網生效。
1. 建立存取控制策略組
1.1 在API Gateway控制台中執行個體頁面,單擊存取控制,即進入存取控制策略組的建立和管理頁面,單擊建立存取控制策略組,輸入策略組名稱。如果要配置對IPv4地址的存取控制選擇IPv4;如果要配置對IPv6的存取控制選擇IPv6;
1.2 存取控制策略組建立成功後,單擊管理存取控制策略組按鈕,即可添加條目,目前支援單個添加條目以及大量新增條目。
每個region只能建立5個存取控制策略組。
每個執行個體只能綁定一個存取控制策略組。
大量新增策略組條目時最多可添加50個條目
如果存取控制策略組的條目為空白,黑白名單無法生效。
2. 專享執行個體設定黑白名單
2.1 設定IPv4黑白名單
在API Gateway控制台單擊執行個體,找到想要設定的專享執行個體,單擊設定黑白名單即可設定存取控制策略。選擇黑名單或者是白名單,然後選擇我們配置的策略組。閱讀注意事項,沒問題後單擊確認,存取控制策略就生效了。
配置黑白名單後,執行個體下的所有API分組都會受到所選的存取控制策略的限制,請謹慎操作。
2.2 設定IPv6黑白名單
在為我們的執行個體設定IPv6的黑白名單時,需要確保我們的專享執行個體已經開通了IPv6入口能力,如圖,在執行個體列表頁面,可以為我們的執行個體開通IPv6入口能力;
開通之後,在需要配置存取控制的專享執行個體詳情的IPv6存取控制欄,單擊設定黑白名單,介面會自動過濾IPv6類型的存取控制策略組,接下來的操作和配置IPv4的黑白名單相同。
IPv6的存取控制只能綁定IPv6類型的存取控制策略組,IPv4的存取控制只能配置IPv4類型的存取控制策略組。
3. 常見問題
1、若配置了存取控制白名單,那麼不在白名單中的用戶端訪問API Gateway會怎麼樣呢?
網關的接入層會直接拒絕訪問,用戶端請求時會有逾時的相關報錯。
API Gateway調試頁可以查看IP,配置的執行個體黑白名單以及IP存取控制外掛程式都需允許存取API Gateway調試的IP才能使用API Gateway的調試功能
2、執行個體層級存取控制和IP存取控制外掛程式有什麼區別?
IP存取控制外掛程式針對API層級進行存取控制。執行個體層級存取控制可以針對整個API Gateway專享執行個體進行存取控制,並且不會產生流量費。