怎样保护API？

使用身份认证

创建API时，为API调用增加身份认证，如使用IAM认证或API网关提供的APP认证，防止API被恶意调用。

设置访问控制策略

从IP地址（或地址区间）以及帐号等不同维度，设置白名单/黑名单。

• 将API绑定流控策略，通过流控策略保护API。
  

API网关默认API流量控制为每秒200次，如果您的后端服务不能支撑单个API 200次/秒的调用请求，可设置流量控制策略，将限额调低。

怎样保证API网关调用后端服务器的安全？

通过以下方法确保API网关调用后端服务器的安全：

• 为API绑定签名密钥。
  
  

在绑定签名密钥后，API网关到后端服务的请求增加签名信息，后端服务收到请求后计算签名信息，验证计算后的签名信息与API网关的签名信息是否一致。

• 使用HTTPS对请求进行加密。
  
  

需要确保已有相应的SSL证书。

使用后端认证：

您可以对后端服务开启安全认证，只受理携带正确授权信息的API请求。在创建API的定义后端服务阶段，可以开启后端认证。

能否针对VPC通道内的ECS私有IP进行访问控制

不支持。