Trang này được dịch bởi Cloud Translation API.

Khắc phục sự cố lỗi thời gian chạy của chính sách AccessControl

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến Tài liệu về Apigee X. thông tin

IPDeniedAccess

Mã lỗi

accesscontrol.IPDeniedAccess

Nội dung phản hồi về lỗi

{
    "fault": {
        "faultstring": "Access Denied for client ip : client_IP",
        "detail": {
            "errorcode": "accesscontrol.IPDeniedAccess"
        }
    }
}

Ví dụ về thông báo lỗi

{
    "fault": {
        "faultstring": "Access Denied for client ip : 104.132.196.83",
        "detail": {
            "errorcode": "accesscontrol.IPDeniedAccess"
        }
    }
}

Nguyên nhân

Lỗi này xảy ra nếu địa chỉ IP của ứng dụng hoặc bất kỳ địa chỉ IP nào được truyền trong yêu cầu API khớp với mọi địa chỉ IP được chỉ định trong phần tử <SourceAddress> trong phần tử <MatchRule> của Chính sách kiểm soát quyền truy cập và thuộc tính action của phần tử <MatchRule> được đặt thành DENY.

Ví dụ: giả sử <SourceAddress> được xác định như sau:

<SourceAddress mask="32">104.132.196.83</SourceAddress>

Nếu địa chỉ IP ở trên khớp với địa chỉ IP của hệ thống ứng dụng (được biểu thị bằng biến proxy.client.ip) hoặc bất kỳ địa chỉ IP nào được truyền theo yêu cầu API, thì lỗi sẽ xảy ra.

Chẩn đoán

Xác định(các) địa chỉ IP bị từ chối truy cập đối với một yêu cầu API cụ thể. Bạn có thể tìm thấy thông tin này trong phần tử faultstring của phản hồi lỗi.

Ví dụ: trong faultstring sau, địa chỉ IP là 104.132.196.83:
```
"faultstring": "Access Denied for client ip : 104.132.196.83"
```
Kiểm tra tất cả chính sách Kiểm soát quyền truy cập trong Proxy API bị lỗi và xác định chính sách cụ thể, trong đó(các) địa chỉ IP được chỉ định trong phần tử <SourceAddress> khớp với(các) địa chỉ IP xác định được trong faultstring (Bước 1 ở trên).

Ví dụ: chính sách sau đây xác định IP <SourceAddress> là 104.132.196.83, khớp với thông tin trong faultstring:
```
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
    <AccessControl async="false" continueOnError="false" enabled="true" name="Access-Control">
    <DisplayName>Access-Control</DisplayName>
    <Properties/>
    <IPRules noRuleMatchAction="ALLOW">
        <MatchRule action="DENY">
            <SourceAddress mask="32">104.132.196.83</SourceAddress>
        </MatchRule>
    </IPRules>
    </AccessControl>
```
Xác định(các) địa chỉ IP dùng để gửi yêu cầu API. Có nhiều cách để thực hiện việc này:
1. Sử dụng công cụ Theo dõi giao diện người dùng
  1. Ghi lại dấu vết cho yêu cầu API không thành công.
  2. Chọn Chính sách kiểm soát quyền truy cập cụ thể không hoạt động được trên bảng điều khiển bên phải.
  3. Kiểm tra giá trị của biến proxy.client.ip như trong ảnh chụp màn hình dấu vết mẫu sau đây.
  4. Nếu proxy.client.ip không được liệt kê, hãy kiểm tra giá trị của Tiêu đề thư X-Forwarded-For hoặc True-Client-IP.
2. Sử dụng báo cáo tùy chỉnh
  
  Bạn có thể tạo Báo cáo tuỳ chỉnh để xác định xem mã trạng thái 403 có được gửi trong quá trình thực thi chính sách Kiểm soát quyền truy cập trong proxy API hay không và cũng xác định địa chỉ IP của ứng dụng khách. Điều này đặc biệt hữu ích nếu vấn đề đã xảy ra trong quá khứ hoặc nếu vấn đề không liên tục và bạn không thể thu thập dấu vết trong giao diện người dùng.
  
  Hãy tham khảo bài viết Tạo và quản lý báo cáo tuỳ chỉnh để tìm hiểu cách tạo báo cáo tuỳ chỉnh. Trong báo cáo tuỳ chỉnh, hãy chọn:
  1. Tổng lưu lượng truy cập làm chỉ số và
  2. Proxy, Mã trạng thái phản hồi, IP của ứng dụng khách proxy và X-Được chuyển tiếp-Cho làm phương diện.
  Việc này sẽ giúp bạn xác định IP ứng dụng khách hoặc địa chỉ IP bị truyền dẫn đến lỗi.
Nếu địa chỉ IP của ứng dụng (được biểu thị bằng biến proxy.client.ip) hoặc bất kỳ địa chỉ IP nào được truyền trong yêu cầu API, khớp với(các) địa chỉ IP được chỉ định trong phần tử <SourceAddress> trong phần tử <MatchRule> của Chính sách kiểm soát quyền truy cập, trong đó thuộc tính action được đặt thành DENY, thì đó là nguyên nhân gây ra lỗi.

Trong ví dụ trên, giá trị được đặt trong biến tham chiếu proxy.client.ip (như trong ảnh chụp màn hình dấu vết ở trên) khớp với địa chỉ IP được xác định trong phần tử <SourceAddress> của chính sách Kiểm soát quyền truy cập, do đó kích hoạt phản hồi lỗi:
```
"faultstring": "Access Denied for client ip : 104.132.196.83"
```

Độ phân giải

Nếu chính sách Kiểm soát quyền truy cập nhằm từ chối quyền truy cập vào các yêu cầu API đến từ(các) địa chỉ IP cụ thể được liệt kê trong faultstring, thì thông báo lỗi sẽ xuất hiện. Trong trường hợp này, bạn không cần làm gì thêm.

Tuy nhiên, nếu bạn xác định rằng(các) địa chỉ IP cụ thể có thể được cấp quyền truy cập vào yêu cầu API cho Proxy API cụ thể đó, hãy sửa đổi Chính sách kiểm soát quyền truy cập để cho phép truy cập vào(các) địa chỉ IP đó. Ngoài ra, bạn có thể xoá Chính sách kiểm soát quyền truy cập khỏi Proxy API nếu không muốn từ chối cấp quyền truy cập vào bất kỳ(các) địa chỉ IP nào.

Sau đây là ví dụ cho thấy cách chỉ cấp quyền truy cập vào một Địa chỉ IP cụ thể 104.132.196.83 và từ chối quyền truy cập đối với các địa chỉ IP còn lại:

<AccessControl name="ACL">
  <IPRules noRuleMatchAction = "DENY">
    <MatchRule action = "ALLOW">
      <SourceAddress mask="32">104.132.196.83</SourceAddress>
    </MatchRule>
  </IPRules>
</AccessControl>