创建和使用带 API 密钥的使用计划 - Amazon API Gateway
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建和使用带 API 密钥的使用计划

创建、测试和部署 API 后,您可以实施 API Gateway 使用计划,将它们作为面向客户的产品/服务提供。您可以配置使用计划和 API 密钥,以允许客户访问选定的 API,并根据定义的限制和配额开始对这些API的请求进行节流。这些可以在 API 或 API 方法级别设置。

什么是使用计划和 API 密钥?

一个使用计划指定谁可以访问一个或多个部署的 API 阶段和方法 — 可以选择设置目标请求速率来启动限制请求。该计划使用 API 密钥来标识 API 客户端,以及针对每个密钥对关联的 API 阶段的访问人员。

API 密钥 是字母数字字符串值,可将它分发给应用程序开发人员(要向其授予对您的 API 的访问权的客户)。您可以将 API 密钥与 Lambda authorizers(Lambda 授权人)、IAM roles(IAM 角色)或 Amazon Cognito 一起使用,以控制对 API 的访问。API Gateway 可以代表您生成 API 密钥,也可以从 CSV 文件中导入 API 密钥。您可以在 API Gateway 中生成 API 密钥,或从外部源将其导入 API Gateway。有关更多信息,请参阅 使用 API Gateway 控制台设置 API 密钥

API 密钥具有一个名称和值。(术语“API 密钥”和“API 密钥值”经常互换使用。) 名称不能超过 1024 个字符。值为一个长度在 20 到 128 个字符之间的字母数字字符串,例如,apikey1234abcdefghij0123456789

重要

API 密钥值必须是唯一的。如果您尝试使用不同的名称和相同的值来创建两个 API 密钥,API Gateway 会将它们视为同一 API 密钥。

一个 API 密钥可与多个使用计划关联。一个使用计划可与多个阶段关联。但是,对于 API 的每个阶段,给定 API 密钥只能与一个使用计划关联。

一个限制设置请求限制应该开始的目标点。这可以在 API 或 API 方法级别设置。

配额限制可设置在指定的时间间隔内提交的包含给定 API 密钥的最大目标请求数。您可以配置单独的 API 方法,要求根据使用计划配置进行 API 密钥授权。

限制和配额限制适用于跨一个使用计划内的所有 API 阶段聚合的各个 API 密钥的请求。

注意

使用计划节流和配额不是硬性限制,而是在尽力而为的基础上应用的。在某些情况下,客户端可能会超过您设置的配额。不要依靠使用计划配额或节流来控制成本或阻止对 API 的访问。考虑使用 Amazon Budgets 监控成本和 Amazon WAF 来管理 API 请求。

API 密钥和使用计划的最佳实践

以下是使用 API 密钥和使用计划时要遵循的建议的最佳实践。

重要
  • 请勿使用 API 密钥进行身份验证或授权以控制对 API 的访问权限。如果您在一个使用计划中有多个 API,则具有该使用计划中的一个 API 的有效 API 密钥的用户可以访问该使用计划中的所有 API。相反,要控制对 API 的访问权限,请使用 IAM 角色、Lambda 授权方Amazon Cognito 用户群体

  • 使用 API Gateway 生成的 API 密钥。API 密钥不应包含机密信息;客户端通常使用可记录的标头传输这些信息。

  • 如果您使用开发人员门户发布您的 API,请注意,给定使用计划中的所有 API 均可订阅,即使您尚未向您的客户显示它们。

  • 在某些情况下,客户端可能会超过您设置的配额。不要依靠使用计划来控制成本。考虑使用 Amazon Budgets 监控成本和 Amazon WAF 来管理 API 请求。

  • 将 API 密钥添加到使用计划后,更新操作可能需要几分钟才能完成。