操作场景

访问控制策略是API网关提供的API安全防护组件之一，主要用来控制访问API的IP地址和帐户，您可以通过设置IP地址或帐户的黑白名单来拒绝/允许某个IP地址或帐户访问API。

访问控制策略和API本身是相互独立的，只有将访问控制策略绑定API后，访问控制策略才对绑定的API生效。

说明
 每个用户最多可以创建100个访问控制策略。
 同一个环境中一个API只能被一个访问控制策略绑定，一个访问控制策略可以绑定多个API。

创建访问控制策略

步骤 1 进入API网关控制台页面。

步骤 2 根据实际业务在左侧导航栏上方选择实例。

步骤 3 在左侧导航栏选择“API管理 > API策略”。

步骤 4 在“策略管理”页面，单击“创建策略”。

步骤 5 单击需要创建的策略类型，选择传统策略，单击“访问控制”，弹出“创建访问控制策略”对话框。

步骤 6 输入下表 如所示信息。

表 访问控制策略信息

信息项
描述
策略名称
访问控制策略的名称。
类型
控制访问API的类型。
IP地址：限制调用API的IP地址。
账号名：仅适用IAM认证类型的API，限制调用API的账号名。仅支持配置账号名，对账号名及账号名下的IAM用户名做限制，不支持配置IAM用户名。
账号ID：仅适用IAM认证类型的API，限制调用API的账号ID。仅支持配置账号ID，对账号ID及账号ID下的IAM用户ID做限制，不支持配置IAM用户ID。
说明
一个API同时绑定两种类型的访问控制策略：账户维度的账户名类型和账号ID类型。访问API时，如果同时有黑白名单，只校验白名单，校验通过则访问成功；如果只有黑名单或白名单，校验通过的结果为“且”逻辑。
一个API同时绑定三种类型的访问控制策略：IP维度的IP类型、账户维度的账号名类型和账号ID类型。访问API时，IP维度和账户维度为“且”的关系，其中一方校验失败则访问失败。（一个API同时绑定IP类型和账号名/账号ID类型的访问控制策略，这两种类型的判断逻辑与三种类型的判断逻辑相同）。
动作
包括“允许”和“禁止”。
和“类型”配合使用，允许/禁止访问API的IP地址/账号名/账号ID。
IP地址
仅当“类型”为“IP地址”时需要配置。
输入允许或者禁止访问API的IP地址，或IP地址范围。
说明
允许或禁止访问的IP地址条数，分别可以配置最多100条。
账号名
仅当“类型”为“账号名”时需要配置。
输入允许或者禁止访问API的账号名，多个账号名之间使用英文逗号（,）隔开。
您可以单击控制台右上角的用户名，选择“我的凭证”，在“我的凭证”页面获取用户的账号名。
账号ID
仅当“类型”为“账号ID”时需要配置。
输入允许或者禁止访问API的账号ID，多个账号ID之间使用英文逗号（,）隔开。
您可以单击控制台右上角的用户名，选择“我的凭证”，在“我的凭证”页面获取用户的账号ID。

步骤 7 单击“确定”，完成访问控制策略的创建。您可以将相关API绑定到该策略，以实现访问控制。

绑定API

步骤 1 在“访问控制”页面，通过以下任意一种方法，进入“绑定API”页面。

• 在待绑定的访问控制策略所在行，单击“绑定API”，进入已绑定API列表页面。单击“绑定API”。
• 单击策略名称，进入策略详情页面。单击“绑定API”。

步骤 2 选择“API分组”、“环境”以及“API名称”，筛选所需的API。

步骤 3 勾选API，单击“绑定”，完成API绑定策略。

说明
在访问控制策略绑定API后，如果API不需要调用此策略，单击“解除”，解除绑定。如果需要批量解绑API，则勾选待解绑的API，单击“解除”。最多同时解绑1000个API。