操作場景

訪問控制策略是API網關提供的API安全防護組件之一，主要用來控制訪問API的IP地址和帳戶，您可以通過設置IP地址或帳戶的黑白名單來拒絕/允許某個IP地址或帳戶訪問API。

訪問控制策略和API本身是相互獨立的，只有將訪問控制策略綁定API后，訪問控制策略才對綁定的API生效。

說明
?每個用戶最多可以創建100個訪問控制策略。
?同一個環境中一個API只能被一個訪問控制策略綁定，一個訪問控制策略可以綁定多個API。

創建訪問控制策略

步驟 1 進入API網關控制臺頁面。

步驟 2 根據實際業務在左側導航欄上方選擇實例。

步驟 3 在左側導航欄選擇“API管理 > API策略”。

步驟 4 在“策略管理”頁面，單擊“創建策略”。

步驟 5 單擊需要創建的策略類型，選擇傳統策略，單擊“訪問控制”，彈出“創建訪問控制策略”對話框。

步驟 6 輸入下表 如所示信息。

表 訪問控制策略信息

信息項
描述
策略名稱
訪問控制策略的名稱。
類型
控制訪問API的類型。
IP地址：限制調用API的IP地址。
賬號名：僅適用IAM認證類型的API，限制調用API的賬號名。僅支持配置賬號名，對賬號名及賬號名下的IAM用戶名做限制，不支持配置IAM用戶名。
賬號ID：僅適用IAM認證類型的API，限制調用API的賬號ID。僅支持配置賬號ID，對賬號ID及賬號ID下的IAM用戶ID做限制，不支持配置IAM用戶ID。
說明
一個API同時綁定兩種類型的訪問控制策略：賬戶維度的賬戶名類型和賬號ID類型。訪問API時，如果同時有黑白名單，只校驗白名單，校驗通過則訪問成功；如果只有黑名單或白名單，校驗通過的結果為“且”邏輯。
一個API同時綁定三種類型的訪問控制策略：IP維度的IP類型、賬戶維度的賬號名類型和賬號ID類型。訪問API時，IP維度和賬戶維度為“且”的關系，其中一方校驗失敗則訪問失敗。（一個API同時綁定IP類型和賬號名/賬號ID類型的訪問控制策略，這兩種類型的判斷邏輯與三種類型的判斷邏輯相同）。
動作
包括“允許”和“禁止”。
和“類型”配合使用，允許/禁止訪問API的IP地址/賬號名/賬號ID。
IP地址
僅當“類型”為“IP地址”時需要配置。
輸入允許或者禁止訪問API的IP地址，或IP地址范圍。
說明
允許或禁止訪問的IP地址條數，分別可以配置最多100條。
賬號名
僅當“類型”為“賬號名”時需要配置。
輸入允許或者禁止訪問API的賬號名，多個賬號名之間使用英文逗號（,）隔開。
您可以單擊控制臺右上角的用戶名，選擇“我的憑證”，在“我的憑證”頁面獲取用戶的賬號名。
賬號ID
僅當“類型”為“賬號ID”時需要配置。
輸入允許或者禁止訪問API的賬號ID，多個賬號ID之間使用英文逗號（,）隔開。
您可以單擊控制臺右上角的用戶名，選擇“我的憑證”，在“我的憑證”頁面獲取用戶的賬號ID。

步驟 7 單擊“確定”，完成訪問控制策略的創建。您可以將相關API綁定到該策略，以實現訪問控制。

綁定API

步驟 1 在“訪問控制”頁面，通過以下任意一種方法，進入“綁定API”頁面。

• 在待綁定的訪問控制策略所在行，單擊“綁定API”，進入已綁定API列表頁面。單擊“綁定API”。
• 單擊策略名稱，進入策略詳情頁面。單擊“綁定API”。

步驟 2 選擇“API分組”、“環境”以及“API名稱”，篩選所需的API。

步驟 3 勾選API，單擊“綁定”，完成API綁定策略。

說明
在訪問控制策略綁定API后，如果API不需要調用此策略，單擊“解除”，解除綁定。如果需要批量解綁API，則勾選待解綁的API，單擊“解除”。最多同時解綁1000個API。