怎樣保護API？

使用身份認證

創建API時，為API調用增加身份認證，如使用IAM認證或API網關提供的APP認證，防止API被惡意調用。

設置訪問控制策略

從IP地址（或地址區間）以及帳號等不同維度，設置白名單/黑名單。

• 將API綁定流控策略，通過流控策略保護API。

API網關默認API流量控制為每秒200次，如果您的后端服務不能支撐單個API 200次/秒的調用請求，可設置流量控制策略，將限額調低。

怎樣保證API網關調用后端服務器的安全？

通過以下方法確保API網關調用后端服務器的安全：

• 為API綁定簽名密鑰。

在綁定簽名密鑰后，API網關到后端服務的請求增加簽名信息，后端服務收到請求后計算簽名信息，驗證計算后的簽名信息與API網關的簽名信息是否一致。

• 使用HTTPS對請求進行加密。

需要確保已有相應的SSL證書。

使用后端認證：

您可以對后端服務開啟安全認證，只受理攜帶正確授權信息的API請求。在創建API的定義后端服務階段，可以開啟后端認證。

能否針對VPC通道內的ECS私有IP進行訪問控制

不支持。