创建访问控制策略_API网关 APIG_用户指南（开放API）_访问控制

操作场景

访问控制策略是API网关提供的API安全防护组件之一，主要用来控制访问API的IP地址和帐户，您可以通过设置IP地址或帐户的黑白名单来允许/拒绝某个IP地址或帐户访问API。

访问控制策略和API本身是相互独立的，只有将访问控制策略绑定API后，访问控制策略才对绑定的API生效。

• 每个用户最多可以创建100个访问控制策略。
• 同一个环境中一个API只能被一个访问控制策略绑定，一个访问控制策略可以绑定多个API。

创建访问控制策略

1. 登录管理控制台。
2. 在管理控制台左上角单击，选择区域。
3. 在服务列表中，选择“应用服务 > API网关”，进入API网关服务管理页面。
4. 在左侧选择您的API版本，单击并进入到对应版本的API开发与调用管理页面。

   “共享版”指直接创建并管理API，如涉及到费用，以API调用次数计费。

   “专享版”指在API专享版实例中创建并管理API，如涉及到费用，按实例运行时间计费。

5. 单击“开放API > 访问控制”，进入访问控制策略列表页面。
6. 单击“创建访问控制策略”，弹出“创建访问控制策略”对话框。
7. 输入表1如所示信息。
   图1 创建访问控制策略
   

   表1 访问控制策略信息

   信息项	描述
   策略名称	访问控制策略的名称。
   限制类型	控制访问API的类型。 IP地址：允许/禁止访问API的IP地址。 帐号名：允许/禁止访问API的帐号名。
   动作	包括允许和禁止。 和“限制类型”配合使用，允许/禁止访问API的IP地址/帐号名。
   IP地址	输入需要允许或者禁止访问API的IP地址，或IP地址范围。 仅在“限制类型”为“IP地址”时，需要设置。 说明： 允许或禁止访问的IP地址条数，分别可以配置最多100条。
   帐号名	输入需要允许或者禁止访问API的IAM帐号名。IAM帐号名的获取方式参考获取帐号名。 仅在“限制类型”为“帐号名”时，需要设置。支持输入多个账户名，以英文“,”隔开，如aaa,bbb。 说明： 仅支持IAM帐号维度的访问控制，不能对单个IAM用户进行访问控制。

8. 单击“确定”，完成访问控制策略的创建。

绑定API

1. 登录管理控制台。
2. 在管理控制台左上角单击，选择区域。
3. 在服务列表中，选择“应用服务 > API网关”，进入API网关服务管理页面。
4. 在左侧选择您的API版本，单击并进入到对应版本的API开发与调用管理页面。

   “共享版”指直接创建并管理API，如涉及到费用，以API调用次数计费。

   “专享版”指在API专享版实例中创建并管理API，如涉及到费用，按实例运行时间计费。

5. 单击“开放API > 访问控制”，进入访问控制策略列表页面。
6. 通过以下任意一种方法，进入“绑定API”页面。
   • 在待绑定的访问控制策略所在行，单击“绑定API”，进入已绑定API列表页面。单击“绑定API”。
   • 单击策略名称，进入策略详情页面。单击“绑定API”。

7. 选择“API分组”、“环境”以及“API名称”，筛选所需的API。
8. 勾选API，单击“绑定”，完成API绑定策略。
   

   在访问控制策略绑定API后，如果API不需要调用此策略，单击“解除”，解除绑定。如果需要批量解绑API，则勾选待解绑的API，单击“解除”。最多同时解绑1000个API。

获取帐号名

1. 登录管理控制台。
2. 获取账户名。
   1. 单击用户名，在下拉列表中单击“我的凭证”。
   2. 在“API凭证”页面查看帐号名。
      图2 查看帐号名