使用实例访问控制策略组实现访问控制

为保证您资源的数据安全,API网关提供实例级别的访问控制,您可以分别配置针对IPv4和IPv6的访问控制策略组应用于实例,仅专享实例支持配置实例级别访问控制策略,并且仅对公网生效。

1. 创建访问控制策略组

1.1 在API网关控制台中实例页面,单击访问控制,即进入访问控制策略组的创建和管理页面,单击创建访问控制策略组,输入策略组名称。如果要配置对IPv4地址的访问控制选择IPv4;如果要配置对IPv6的访问控制选择IPv6;

1.2 访问控制策略组创建成功后,单击管理访问控制策略组按钮,即可添加条目,目前支持单个添加条目以及批量添加条目。

说明

  • 每个region只能创建5个访问控制策略组。

  • 每个实例只能绑定一个访问控制策略组。

  • 批量添加策略组条目时最多可添加50个条目

  • 如果访问控制策略组的条目为空,黑白名单无法生效。

2. 专享实例设置黑白名单

2.1 设置IPv4黑白名单

在API网关控制台单击实例,找到想要设置的专享实例,单击设置黑白名单即可设置访问控制策略。选择黑名单或者是白名单,然后选择我们配置的策略组。阅读注意事项,没问题后单击确认,访问控制策略就生效了。

重要

配置黑白名单后,实例下的所有API分组都会受到所选的访问控制策略的限制,请谨慎操作。

2.2 设置IPv6黑白名单

在为我们的实例设置IPv6的黑白名单时,需要确保我们的专享实例已经开通了IPv6入口能力,如图,在实例列表页面,可以为我们的实例开通IPv6入口能力;

image

开通之后,在需要配置访问控制的专享实例详情的IPv6访问控制栏,单击设置黑白名单,界面会自动过滤IPv6类型的访问控制策略组,接下来的操作和配置IPv4的黑白名单相同。

重要

IPv6的访问控制只能绑定IPv6类型的访问控制策略组,IPv4的访问控制只能配置IPv4类型的访问控制策略组。

3. 常见问题

1、若配置了访问控制白名单,那么不在白名单中的客户端访问API网关会怎么样呢?

网关的接入层会直接拒绝访问,客户端请求时会有超时的相关报错。

重要

API网关调试页可以查看IP,配置的实例黑白名单以及IP访问控制插件都需放行API网关调试的IP才能使用API网关的调试功能

2、实例级别访问控制和IP访问控制插件有什么区别?

IP访问控制插件针对API级别进行访问控制。实例级别访问控制可以针对整个API网关专享实例进行访问控制,并且不会产生流量费。