Stai visualizzando la documentazione di Apigee e Apigee hybrid.
Visualizza la documentazione di
Apigee Edge.
IPDeniedAccess
Codice di errore
accesscontrol.IPDeniedAccess
Corpo della risposta di errore
{
"fault": {
"faultstring": "Access Denied for client ip : client_IP",
"detail": {
"errorcode": "accesscontrol.IPDeniedAccess"
}
}
}
Esempio di messaggio di errore
{
"fault": {
"faultstring": "Access Denied for client ip : 104.132.196.83",
"detail": {
"errorcode": "accesscontrol.IPDeniedAccess"
}
}
}
Causa
Questo errore si verifica se l'indirizzo IP del client o qualsiasi indirizzo IP trasmesso nell'ambito della richiesta API corrisponde a qualsiasi indirizzo IP specificato nell'elemento <SourceAddress> all'interno dell'elemento <MatchRule> del criterio di controllo dell'accesso e l'attributo action dell'elemento <MatchRule> è impostato su DENY.
Ad esempio, supponiamo che <SourceAddress> sia definito come mostrato di seguito:
<SourceAddress mask="32">104.132.196.83</SourceAddress>
Se l'indirizzo IP riportato sopra corrisponde all'indirizzo IP del sistema client (indicato dalla variabile proxy.client.ip) o a uno qualsiasi degli indirizzi IP trasmessi nell'ambito della richiesta API, si verifica l'errore.
Diagnosi
Identifica gli indirizzi IP a cui è stato negato l'accesso per una specifica richiesta API. Puoi trovare queste informazioni nell'elemento
faultstringdella risposta di errore.Ad esempio, nel seguente
faultstring, l'indirizzo IP è104.132.196.83:"faultstring": "Access Denied for client ip : 104.132.196.83"Esamina tutti i criteri di controllo dell'accesso nel proxy API che non ha superato il controllo e determina il criterio specifico in cui gli indirizzi IP specificati nell'elemento
<SourceAddress>corrispondono agli indirizzi IP identificati infaultstring(passaggio 1 sopra).Ad esempio, il seguente criterio definisce l'IP
<SourceAddress>come104.132.196.83,, che corrisponde al valore del campofaultstring:<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <AccessControl async="false" continueOnError="false" enabled="true" name="Access-Control"> <DisplayName>Access-Control</DisplayName> <Properties/> <IPRules noRuleMatchAction="ALLOW"> <MatchRule action="DENY"> <SourceAddress mask="32">104.132.196.83</SourceAddress> </MatchRule> </IPRules> </AccessControl>Determinare gli indirizzi IP da cui è stata effettuata la richiesta API. Questa operazione può essere eseguita in diversi modi:
Utilizzo di UI Trace
- Acquisisci la traccia per la richiesta API non riuscita.
- Seleziona il criterio di controllo dell'accesso specifico che non è riuscito dal riquadro di destra.
Nel riquadro Dettagli fase, controlla il valore della variabile
proxy.client.ipcome mostrato nel seguente screenshot di una traccia di esempio.
Se
proxy.client.ipnon è in elenco, controlla il valore delle intestazioni dei messaggi X-Forwarded-For o True-Client-IP.
Utilizzo dei report personalizzati
Puoi creare report personalizzati per stabilire se è stato generato un codice di stato 403 durante l'esecuzione del criterio di controllo dell'accesso nel proxy API, nonché per determinare l'indirizzo IP del client. Questa funzionalità è particolarmente utile se il problema si è verificato in passato o se è intermittente e non riesci ad acquisire la traccia nella UI.
Per informazioni su come creare report personalizzati, consulta Creazione e gestione dei report personalizzati. Nel report personalizzato, scegli:
Somma del traffico come metrica e
Proxy, Response Status Code, Proxy Client IP (IP client proxy) e X-Forwarded-For-IP come dimensioni.
Questo dovrebbe aiutarti a determinare l'IP client o gli indirizzi IP trasmessi che hanno generato l'errore.
Se l'indirizzo IP del client (indicato dalla variabile
proxy.client.ip) o qualsiasi indirizzo IP trasmesso nell'ambito della richiesta API corrisponde agli indirizzi IP specificati nell'elemento<SourceAddress>all'interno dell'elemento<MatchRule>del criterio di controllo dell'accesso, dove l'attributoactionè impostato suDENY, è questo l'errore.Nell'esempio mostrato sopra, il valore impostato nella variabile di riferimento
proxy.client.ip(come mostrato nello screenshot della traccia sopra) corrisponde all'indirizzo IP definito nell'elemento<SourceAddress>del criterio di controllo dell'accesso, attivando così la risposta di errore:"faultstring": "Access Denied for client ip : 104.132.196.83"
Risoluzione
Se il criterio di controllo dell'accesso ha lo scopo di negare l'accesso alle richieste API provenienti dagli indirizzi IP specifici elencati in faultstring, significa che si tratta di un messaggio di errore previsto. In questo caso, non sono richieste ulteriori azioni.
Tuttavia, se stabilisci che gli indirizzi IP specifici possano essere autorizzati ad accedere alle richieste API per lo specifico proxy API, modifica il criterio di controllo dell'accesso per consentire l'accesso a questi indirizzi IP. In alternativa, puoi rimuovere il criterio di controllo dell'accesso dal proxy API se non vuoi negare l'accesso a nessun indirizzo IP.
Ecco un esempio che mostra come consentire l'accesso solo a un indirizzo IP specifico 104.132.196.83 e negare l'accesso per gli altri indirizzi:
<AccessControl name="ACL">
<IPRules noRuleMatchAction = "DENY">
<MatchRule action = "ALLOW">
<SourceAddress mask="32">104.132.196.83</SourceAddress>
</MatchRule>
</IPRules>
</AccessControl>