Trang này được dịch bởi Cloud Translation API.

Khắc phục sự cố lỗi thời gian chạy của chính sách AccessControl

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về Apigee X. thông tin

IPDeniedAccess

Mã lỗi

accesscontrol.IPDeniedAccess

Nội dung phản hồi lỗi

{
    "fault": {
        "faultstring": "Access Denied for client ip : client_IP",
        "detail": {
            "errorcode": "accesscontrol.IPDeniedAccess"
        }
    }
}

Ví dụ về thông báo lỗi

{
    "fault": {
        "faultstring": "Access Denied for client ip : 104.132.196.83",
        "detail": {
            "errorcode": "accesscontrol.IPDeniedAccess"
        }
    }
}

Nguyên nhân

Lỗi này xảy ra nếu địa chỉ IP của ứng dụng hoặc bất kỳ địa chỉ IP nào được truyền trong yêu cầu API khớp với mọi địa chỉ IP được chỉ định trong phần tử <SourceAddress> trong phần tử <MatchRule> của Chính sách kiểm soát quyền truy cập và thuộc tính action của phần tử <MatchRule> được đặt thành DENY.

Ví dụ: giả sử <SourceAddress> được xác định như sau:

<SourceAddress mask="32">104.132.196.83</SourceAddress>

Nếu địa chỉ IP ở trên khớp với địa chỉ IP của hệ thống máy khách (do biến proxy.client.ip cho biết) hoặc bất kỳ địa chỉ IP nào được truyền trong yêu cầu API, thì lỗi sẽ xảy ra.

Chẩn đoán

Xác định(các) địa chỉ IP bị từ chối truy cập đối với một yêu cầu API cụ thể. Bạn có thể tìm thấy thông tin này trong phần tử faultstring của phản hồi lỗi.

Ví dụ: trong faultstring sau, địa chỉ IP là 104.132.196.83:
```
"faultstring": "Access Denied for client ip : 104.132.196.83"
```
Kiểm tra tất cả chính sách Kiểm soát quyền truy cập trong Proxy API bị lỗi và xác định chính sách cụ thể, trong đó(các) địa chỉ IP được chỉ định trong phần tử <SourceAddress> khớp với(các) địa chỉ IP xác định được trong faultstring (Bước 1 ở trên).

Ví dụ: chính sách sau đây xác định IP <SourceAddress> là 104.132.196.83, khớp với nội dung trong faultstring:
```
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
    <AccessControl async="false" continueOnError="false" enabled="true" name="Access-Control">
    <DisplayName>Access-Control</DisplayName>
    <Properties/>
    <IPRules noRuleMatchAction="ALLOW">
        <MatchRule action="DENY">
            <SourceAddress mask="32">104.132.196.83</SourceAddress>
        </MatchRule>
    </IPRules>
    </AccessControl>
```
Xác định(các) địa chỉ IP dùng để gửi yêu cầu API. Có nhiều cách để thực hiện việc này:
1. Sử dụng tính năng Theo dõi giao diện người dùng
  1. Ghi lại dấu vết cho yêu cầu API không thành công.
  2. Chọn Chính sách kiểm soát quyền truy cập cụ thể không thành công trong bảng điều khiển bên phải.
  3. Kiểm tra giá trị của biến proxy.client.ip như trong ảnh chụp màn hình sau đây về dấu vết mẫu.
  4. Nếu proxy.client.ip không có trong danh sách, hãy kiểm tra giá trị của tiêu đề thông báo X-Forwarded-For hoặc True-Client-IP.
2. Sử dụng báo cáo tùy chỉnh
  
  Bạn có thể tạo Báo cáo tuỳ chỉnh để xác định xem mã trạng thái 403 có được gửi trong quá trình thực thi Chính sách kiểm soát quyền truy cập trong proxy API hay không, đồng thời xác định địa chỉ IP của ứng dụng khách. Điều này đặc biệt hữu ích nếu vấn đề đã xảy ra trước đây hoặc nếu vấn đề xảy ra không liên tục và bạn không thể ghi lại dấu vết trong giao diện người dùng.
  
  Hãy tham khảo bài viết Tạo và quản lý báo cáo tuỳ chỉnh để tìm hiểu cách tạo báo cáo tuỳ chỉnh. Trong báo cáo tuỳ chỉnh, hãy chọn:
  1. Tổng lưu lượng truy cập làm Chỉ số và
  2. Proxy (Máy chủ proxy), Response Status Code (Mã trạng thái phản hồi), Proxy Client IP (Địa chỉ IP của máy khách proxy) và X-Forwarded-For (X-Forwarded-For) dưới dạng Phương diện.
  Điều này sẽ giúp bạn xác định địa chỉ IP của máy khách hoặc địa chỉ IP đã truyền dẫn đến lỗi.
Nếu địa chỉ IP của ứng dụng (được biểu thị bằng biến proxy.client.ip) hoặc bất kỳ địa chỉ IP nào được truyền trong yêu cầu API, khớp với(các) địa chỉ IP được chỉ định trong phần tử <SourceAddress> trong phần tử <MatchRule> của Chính sách kiểm soát quyền truy cập, trong đó thuộc tính action được đặt thành DENY, thì đó là nguyên nhân gây ra lỗi.

Trong ví dụ ở trên, giá trị được đặt trong biến tham chiếu proxy.client.ip (như trong ảnh chụp màn hình của dấu vết ở trên) khớp với địa chỉ IP được xác định trong phần tử <SourceAddress> của chính sách Kiểm soát quyền truy cập, do đó kích hoạt phản hồi lỗi:
```
"faultstring": "Access Denied for client ip : 104.132.196.83"
```

Độ phân giải

Nếu chính sách Kiểm soát quyền truy cập nhằm từ chối quyền truy cập vào các yêu cầu API đến từ(các) địa chỉ IP cụ thể được liệt kê trong faultstring, thì thông báo lỗi sẽ xuất hiện. Trong trường hợp này, bạn không cần làm gì thêm.

Tuy nhiên, nếu bạn xác định rằng(các) địa chỉ IP cụ thể có thể được cấp quyền truy cập vào yêu cầu API cho Proxy API cụ thể đó, hãy sửa đổi Chính sách kiểm soát quyền truy cập để cho phép truy cập vào(các) địa chỉ IP đó. Ngoài ra, bạn có thể xoá Chính sách kiểm soát quyền truy cập khỏi Proxy API nếu không muốn từ chối cấp quyền truy cập vào bất kỳ(các) địa chỉ IP nào.

Sau đây là ví dụ minh hoạ cách chỉ cho phép truy cập vào một Địa chỉ IP cụ thể 104.132.196.83 và từ chối quyền truy cập cho các địa chỉ IP còn lại:

<AccessControl name="ACL">
  <IPRules noRuleMatchAction = "DENY">
    <MatchRule action = "ALLOW">
      <SourceAddress mask="32">104.132.196.83</SourceAddress>
    </MatchRule>
  </IPRules>
</AccessControl>