SAP云平台API管理提供了许多现成的API安全最佳实践，可以根据您的企业需求进行定制。这些API安全最佳实践包括身份验证和授权、流量管理等安全策略。

访问控制策略包括允许或拒绝API访问特定的客户端IP或IP范围，我们将介绍如何限制或限制对API的访问仅限于特定的客户端IP范围。

前提条件

SAP云平台API管理租户。

创建API代理

登录到您的SAP云平台API管理帐户（例如https://account.hanatrial.ondemand.com/cockpit).导航到"服务"选项卡，搜索API管理服务磁贴并单击以打开SAP API管理服务。

单击"访问API门户"链接以打开API门户。

从汉堡包图标导航到"定义"，然后选择选项卡API并单击"创建"按钮

为任何端点创建新的API代理服务(https://sapes4.sapdevcenter.com/sap/opu/odata/IWBEP/GWSAMPLE\u基本/)从SAP Gateway ES4系统。提供API代理详细信息，如代理名称、标题、，描述和基本路径，然后单击创建按钮

单击保存和部署按钮以激活API代理。

通过此操作，我们激活了一个连接到SAP网关OData API的API代理https://sapes4.sapdevcenter.com/sap/opu/odata/IWBEP/GWSAMPLE\u BASIC/任何一个公众都可以访问域。

通过访问控制限制对API的访问

在本节中，电力物联网，我们将应用SAP云平台、API管理的访问控制安全策略来限制对API的访问，以选择客户端IP范围。

单击新建API代理的策略按钮

单击策略设计器中的编辑按钮，从ProxyEndPoint中选择PreFlow，然后单击"流量管理策略"部分下可用的访问控制策略旁边的+按钮。

在"创建策略"对话框中，提供策略名称，如restrictAccess。

在"策略片段"窗口中提供下面提供的示例策略。不是10.20.30.40的IP地址，而是提供一个您希望提供API访问权限的客户端IP地址。

在上面的示例中，默认规则是限制对API的访问，淘客cms，并使用MatchRule筛选器，允许特定IP范围的访问。因此，淘客单，此代码段是一种实现IP白名单的方法，其中在API中提供对特定客户端IP范围的访问。

掩码值允许您定义可以访问API的客户端IP的IP范围。在上述示例中，如果您想允许访问特定的客户机IP，财务大数据，那么掩码值应设置为32，并允许API访问范围为X.X.*的客户机IP地址。*掩码值应设置为16.

基于客户机IP地址的API受限访问的另一种风格是具有允许访问的默认规则所有的客户端IP地址和拒绝API访问的恶意IP地址也就是俗称的IP黑名单。下面提供的访问控制策略示例可用于实现此场景。

在访问控制策略中可以使用允许/拒绝匹配规则的组合。有关更多此类示例，请参阅帮助文档

单击"更新"按钮保存策略更改

单击"保存"按钮保存对API代理的更改

这样我们就限制了API只能访问白名单上的客户端IP地址。

最后测试流

单击API代理URL打开API代理在新的浏览器窗口中，个人用云服务器，这将导致拒绝访问错误。