View a markdown version of this page

Le migliori pratiche per le chiavi API - Servizio di posizione Amazon
Gestisci le chiavi APILimita l'utilizzo delle chiavi API

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le migliori pratiche per le chiavi API

Segui queste best practice per proteggere le tue chiavi API e gestirne il ciclo di vita.

Gestisci le chiavi API

Le chiavi API includono un valore di testo semplice che dà accesso a una o più risorse o API del tuo Account AWS. Se qualcuno copia la tua chiave API, può accedere alle stesse risorse e API. Per ridurre al minimo il potenziale impatto, consulta le seguenti best practice:

  • Limita la chiave API

    Per evitare la situazione sopra descritta, è meglio limitare la chiave API. Quando crei la chiave, puoi specificare il dominio, l'app Android o l'app Apple in cui può essere utilizzata la chiave.

  • Gestisci la durata delle chiavi API

    Puoi creare chiavi API che funzionano a tempo indeterminato. Tuttavia, se desideri creare una chiave API temporanea, ruotare le chiavi API regolarmente o revocare una chiave API esistente, puoi utilizzare la scadenza della chiave API.

    • Puoi impostare l'ora di scadenza di una chiave API quando la crei o la aggiorni.

    • Quando una chiave API raggiunge la data di scadenza, la chiave viene disattivata automaticamente. Le chiavi inattive non possono più essere utilizzate per effettuare richieste.

    • È possibile modificare una chiave temporanea in una chiave permanente rimuovendo la data di scadenza.

    • Puoi eliminare una chiave API 90 giorni dopo averla disattivata.

    • Se tenti di disattivare una chiave API che è stata utilizzata negli ultimi sette giorni, ti verrà richiesto di confermare che desideri apportare la modifica.

    • Se utilizzi l'API Amazon Location Service o AWS CLI, imposta il ForceUpdate parametro sutrue, altrimenti riceverai un errore.

Limita l'utilizzo delle chiavi API in base all'origine della richiesta

Puoi configurare le chiavi API con restrizioni client che limitano l'accesso a domini o applicazioni mobili specifici. In caso di restrizioni per dominio, le richieste verranno autorizzate solo se l'intestazione HTTP Referer corrisponde al valore fornito. In caso di restrizioni per applicazione Android o Apple, le richieste saranno autorizzate solo se i campi di intestazione HTTP dell'identificatore dell'applicazione corrispondono ai valori forniti.

Per ulteriori informazioni, consulta il riferimento ApiKeyRestrictionsall'API di Amazon Location Service.

Identificatori di applicazioni Android:

  • X-Android-Package:

    Un identificatore univoco per le applicazioni Android, definito nel build.gradle file dell'app, in genere con un formato a dominio inverso.

    Esempio:

    com.mydomain.appname

  • X-Android-Cert:

    L' SHA-1 hash del certificato di firma utilizzato per firmare l'APK Android.

    Esempio:

    BB:0D:AC:74:D3:21:E1:43:67:71:9B:62:91:AF:A1:66:6E:44:5D:75

Identificatori delle applicazioni Apple:

  • X-Apple-Bundle-Id :

    Un identificatore univoco per le applicazioni Apple (iOS, macOS, ecc.), definito nelle app, in genere seguendo un Info.plist formato a dominio inverso.

    Esempio:

    com.mydomain.appname