Stai visualizzando la documentazione di Apigee Edge.
Vai alla
documentazione di Apigee X. informazioni
IPDeniedAccess
Codice di errore
accesscontrol.IPDeniedAccess
Corpo della risposta all'errore
{ "fault": { "faultstring": "Access Denied for client ip : client_IP", "detail": { "errorcode": "accesscontrol.IPDeniedAccess" } } }
Esempio di messaggio di errore
{
"fault": {
"faultstring": "Access Denied for client ip : 104.132.196.83",
"detail": {
"errorcode": "accesscontrol.IPDeniedAccess"
}
}
}
Causa
Questo errore si verifica se l'indirizzo IP del client o qualsiasi indirizzo IP trasmesso nell'ambito della richiesta API corrisponde a uno o più indirizzi IP specificati nell'elemento <SourceAddress>
all'interno dell'elemento <MatchRule>
dei criteri di controllo dell'accesso e l'attributo action
dell'elemento <MatchRule>
è impostato su DENY
.
Ad esempio, supponiamo che <SourceAddress>
sia definito come mostrato di seguito:
<SourceAddress mask="32">104.132.196.83</SourceAddress>
Se l'indirizzo IP riportato sopra corrisponde all'indirizzo IP del sistema client (indicato dalla variabile proxy.client.ip
) o di uno qualsiasi degli indirizzi IP passati nell'ambito della richiesta API, si verifica l'errore.
Diagnostica
Identifica gli indirizzi IP a cui è stato negato l'accesso per una richiesta API specifica. Puoi trovare queste informazioni nell'elemento
faultstring
della risposta di errore.Ad esempio, nel seguente
faultstring
, l'indirizzo IP è104.132.196.83:
"faultstring": "Access Denied for client ip : 104.132.196.83"
Esamina tutti i criteri di controllo dell'accesso nel proxy API che ha avuto esito negativo e determina il criterio specifico in cui gli indirizzi IP specificati nell'elemento
<SourceAddress>
corrispondono agli indirizzi IP identificati nel passaggio 1 difaultstring
.Ad esempio, il seguente criterio definisce l'IP
<SourceAddress>
come104.132.196.83,
, che corrisponde a quanto indicato infaultstring
:<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <AccessControl async="false" continueOnError="false" enabled="true" name="Access-Control"> <DisplayName>Access-Control</DisplayName> <Properties/> <IPRules noRuleMatchAction="ALLOW"> <MatchRule action="DENY"> <SourceAddress mask="32">104.132.196.83</SourceAddress> </MatchRule> </IPRules> </AccessControl>
Determina gli indirizzi IP da cui è stata effettuata la richiesta API. Questa operazione può essere eseguita in diversi modi:
Utilizzo di UI Trace
- Acquisisci la traccia per la richiesta API non riuscita.
- Seleziona dal riquadro di destra il criterio di controllo dell'accesso specifico che non è riuscito.
Controlla il valore della variabile
proxy.client.ip
come mostrato nel seguente screenshot di una traccia di esempio.Se
proxy.client.ip
non è presente nell'elenco, controlla il valore delle intestazioni dei messaggi X-Forwarded-For o True-Client-IP.
Utilizzare i rapporti personalizzati
Puoi creare report personalizzati per determinare se è stato generato un codice di stato 403 durante l'esecuzione del criterio di controllo dell'accesso nel proxy API e per determinare anche l'indirizzo IP del client. Ciò è particolarmente utile se il problema si è verificato in passato o se è intermittente e non riesci ad acquisire la traccia nell'interfaccia utente.
Per informazioni su come creare report personalizzati, consulta Creare e gestire i report personalizzati. Nel report personalizzato, scegli:
Somma del traffico come metrica e
Proxy, Response Status Code (Codice di stato della risposta), Proxy Client IP (IP client proxy) e X-Forwarded-For come dimensioni.
Questo dovrebbe aiutarti a determinare l'IP client o gli indirizzi IP passati che hanno generato l'errore.
Se l'indirizzo IP del client (indicato dalla variabile
proxy.client.ip
) o qualsiasi indirizzo IP trasmesso nell'ambito della richiesta API corrisponde agli indirizzi IP specificati nell'elemento<SourceAddress>
all'interno dell'elemento<MatchRule>
di Access Control Policy, dove l'attributoaction
è impostato suDENY
, questo è il motivo dell'errore.Nell'esempio mostrato sopra, il valore impostato nella variabile di riferimento
proxy.client.ip
(come mostrato nello screenshot della traccia precedente) corrisponde all'indirizzo IP definito nell'elemento<SourceAddress>
del criterio di controllo dell'accesso, attivando così la risposta di errore:"faultstring": "Access Denied for client ip : 104.132.196.83"
Risoluzione
Se il criterio di controllo dell'accesso ha lo scopo di negare l'accesso alle richieste API provenienti dagli indirizzi IP specifici elencati in faultstring
, il messaggio di errore è previsto. In questo caso, non sono richieste ulteriori azioni.
Tuttavia, se stabilisci che agli indirizzi IP specifici è possibile concedere l'accesso alle richieste API per il proxy API specifico, modifica il criterio di controllo dell'accesso per consentire l'accesso a tali indirizzi. In alternativa, puoi rimuovere il criterio di controllo dell'accesso dal proxy API se non vuoi negare l'accesso a nessun indirizzo IP.
Ecco un esempio che mostra come consentire l'accesso solo a un indirizzo IP specifico 104.132.196.83
e negare l'accesso per gli altri indirizzi:
<AccessControl name="ACL">
<IPRules noRuleMatchAction = "DENY">
<MatchRule action = "ALLOW">
<SourceAddress mask="32">104.132.196.83</SourceAddress>
</MatchRule>
</IPRules>
</AccessControl>