Esta página descreve como criar, editar e restringir chaves de API.
Introdução às chaves de API
Quando você usa uma chave de API para autenticar uma API, ela não identifica um principal. A chave de API associa a solicitação a um projeto do Google Cloud para fins de faturamento e cota. Sem um principal, a solicitação não pode usar o Identity and Access Management (IAM) para verificar se o autor da chamada está autorizado a realizar a operação solicitada.
Uma chave de API tem os seguintes componentes, que você usa para gerenciar e usar a chave:
- String
- A string da chave de API é uma string criptografada. Por exemplo,
AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe
. Ao usar uma chave de API para autenticar, você sempre usará a string da chave. As chaves de API não têm um arquivo JSON associado. - ID
- O ID da chave de API é usado pelas ferramentas administrativas do Google Cloud para identificar a chave de forma exclusiva. O ID da chave não pode ser usado para autenticação. O ID da chave pode ser encontrado no URL da página de edição da chave no console do Google Cloud. Também é possível receber o ID da chave usando a Google Cloud CLI para listar as chaves no seu projeto.
- Nome de exibição
- O nome de exibição é um nome opcional e descritivo para a chave. É possível definir esse campo ao criar ou atualizar a chave.
Antes de começar
Conclua as tarefas a seguir para usar as amostras nesta página.
Configurar a autenticação
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
C++
Para usar os exemplos C++ desta página em um ambiente de desenvolvimento local, instale e inicialize o gcloud CLI e e configure o Application Default Credentials com suas credenciais de usuário.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local na documentação de autenticação do Google Cloud.
Java
Para usar os exemplos Java desta página em um ambiente de desenvolvimento local, instale e inicialize o gcloud CLI e e configure o Application Default Credentials com suas credenciais de usuário.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local na documentação de autenticação do Google Cloud.
Python
Para usar os exemplos Python desta página em um ambiente de desenvolvimento local, instale e inicialize o gcloud CLI e e configure o Application Default Credentials com suas credenciais de usuário.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local na documentação de autenticação do Google Cloud.
REST
Para usar as amostras da API REST nesta página em um ambiente de desenvolvimento local, use as credenciais fornecidas para gcloud CLI.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Para mais informações, consulte Autenticar para usar REST na documentação de autenticação do Google Cloud.
Funções exigidas
Para receber as permissões necessárias para gerenciar chaves de API, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:
-
Administrador de chaves de API (
roles/serviceusage.apiKeysAdmin
) -
Restrinja uma chave de API para APIs específicas usando o console do Google Cloud:
Visualizador de uso do serviço (
roles/serviceusage.serviceUsageViewer
)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
crie uma chave de API
Para criar uma chave de API, use uma das seguintes opções:
Console
No console do Google Cloud, acesse a página Credenciais:
Clique em Criar credenciais e, em seguida, selecione a chave de API no menu.
A caixa de diálogo Chave de API criada exibirá a string da chave recém-criada.
gcloud
Use o
comando gcloud services api-keys create
para criar uma chave de API.
Substitua DISPLAY_NAME
por um nome descritivo para a
chave.
gcloud services api-keys create --display-name=DISPLAY_NAME
C++
Para executar esta amostra, você precisa instalar a biblioteca de cliente de chaves de API.
Java
Para executar essa amostra, instale a
biblioteca de cliente google-cloud-apikeys
.
Python
Para executar esta amostra, você precisa instalar a biblioteca de cliente de chaves de API.
REST
Use o
método keys.create
para criar uma chave de API. Essa solicitação retorna uma
operação de longa duração. Você precisa pesquisar
a operação para receber as informações da nova chave.
Substitua os seguintes valores:
DISPLAY_NAME
: opcional. Um nome descritivo para a chave.PROJECT_ID
: o nome ou ID do projeto do Google Cloud.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ -d {'"displayName" : "DISPLAY_NAME"'} \ "https://apikeys.googleapis.com/v2/projects/PROJECT/locations/global/keys"
Para mais informações sobre como criar chaves de API usando a API REST, consulte Como criar uma chave de API, na documentação de API de chaves de API.
Copie a string da chave e guarde-a com segurança. Use restrições de chave de API para limitar como a chave pode ser usada.
Aplicar restrições de chave API
As chaves de API são irrestritas por padrão. As chaves irrestritas não são seguras porque podem ser usadas por qualquer pessoa e de qualquer lugar. Para aplicativos de produção, defina as restrições de aplicativos e as restrições de API.
Adicionar restrições ao aplicativo
As restrições de aplicativo especificam quais sites, endereços IP ou apps podem usar uma chave de API.
Só é possível aplicar um tipo de restrição de aplicativo por vez. Escolha o tipo de restrição com base nas necessidades do aplicativo.
Opção | Tipo de aplicativo | Observações |
---|---|---|
Referenciadores HTTP | Aplicativos da Web | Especifica os sites que podem usar a chave. |
Endereços IP | Aplicativos chamados por servidores específicos | Especifica os servidores ou cron jobs que podem usar a chave. |
Apps Android | Aplicativos Android | Especifica o app Android que pode usar a chave. |
Apps iOS | Aplicativos iOS | Especifica os pacotes do iOS que podem usar a chave. |
Referenciadores HTTP
Para restringir os sites que podem usar a chave de API, adicione uma ou mais restrições de referenciadores de HTTP.
É possível substituir um caractere curinga (*
) pelo subdomínio ou pelo caminho, mas
não é possível inserir um caractere curinga no meio do URL. Por exemplo,
*.example.com
é válido e aceita todos os sites que terminam em .example.com
. No entanto, mysubdomain*.example.com
não é uma restrição válida.
Os números de porta podem ser incluídos em restrições de referenciadores de HTTP. Se você incluir um número de porta, apenas as solicitações que usam essa porta serão correspondidas. Se você não especificar um número de porta, as solicitações de qualquer número de porta serão correspondidas.
É possível adicionar até 1.200 referenciadores HTTP a uma chave de API.
A tabela a seguir mostra alguns exemplos de cenários e restrições do navegador:
Cenário | Restrições |
---|---|
Permitir um URL específico | Adicione um URL com um caminho exato. Por exemplo:www.example.com/path www.example.com/path/path Alguns navegadores implementam uma política de referenciador que envia somente o URL de origem para solicitações entre origens. Os usuários desses navegadores não podem usar chaves com restrições de URL específicas da página. |
Permitir qualquer URL no site | É preciso definir dois URLs na lista allowedReferers .
|
Permitir qualquer URL em um único subdomínio ou domínio sem "www". |
É preciso definir dois URLs na lista
|
Para restringir sua chave de API a sites específicos, use uma das seguintes opções:
Console
No console do Google Cloud, acesse a página Credenciais:
Clique no nome da chave de API que você quer restringir.
Na seção Restrições de aplicativo, selecione Referenciadores HTTP.
Para cada restrição que você quiser adicionar, clique em Adicionar um item, insira a restrição e clique em Concluído.
Clique em Salvar para salvar as mudanças e retornar à lista de chaves de API..
gcloud
Encontre o ID da chave que você quer restringir.
O ID não é igual ao nome de exibição ou à string de chave. Para conseguir o ID, use o comando
gcloud services api-keys list
para listar as chaves do projeto.Use o comando
gcloud services api-keys update
para adicionar restrições de referenciadores de HTTP a uma chave de API.Substitua os seguintes valores:
KEY_ID
: o ID da chave que você quer restringir.ALLOWED_REFERRER_1
: a restrição do referenciador de HTTP.Você pode adicionar quantas restrições forem necessárias. use vírgulas para separar as restrições. É necessário fornecer todas as restrições do referenciador com o comando update. As restrições de referenciadores fornecidas substituem todas as restrições de referenciadores atuais na chave.
gcloud services api-keys update KEY_ID \ --allowed-referrers="ALLOWED_REFERRER_1"
Java
Para executar essa amostra, instale a
biblioteca de cliente google-cloud-apikeys
.
Python
Para executar esta amostra, você precisa instalar a biblioteca de cliente de chaves de API.
REST
Encontre o ID da chave que você quer restringir.
O ID não é igual ao nome de exibição ou à string de chave. Você pode conseguir o ID usando o método keys.list. O ID é listado no campo
uid
da resposta.Substitua
PROJECT_ID
pelo ID ou número do projeto do Google Cloud.curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://apikeys.googleapis.com/v2/projects/PROJECT_ID/locations/global/keys/"
Use o método keys.patch para adicionar restrições de referenciadores de HTTP à chave de API.
Essa solicitação retorna uma operação de longa duração. Você precisa pesquisar a operação para saber quando ela é concluída e conferir o status dela.
Substitua os seguintes valores:
ALLOWED_REFERRER_1
: a restrição do referenciador de HTTP.Você pode adicionar quantas restrições forem necessárias. use vírgulas para separar as restrições. É necessário fornecer todas as restrições do referenciador com a solicitação. as restrições do referenciador fornecidas substituem todas as restrições de referenciador atuais na chave.
PROJECT_ID
: o nome ou ID do projeto do Google Cloud.KEY_ID
: o ID da chave que você quer restringir.
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data '{ "restrictions" : { "browserKeyRestrictions": { "allowedReferrers": ["ALLOWED_REFERRER_1"] } } }' \ "https://apikeys.googleapis.com/v2/projects/PROJECT_ID/locations/global/keys/KEY_ID?updateMask=restrictions"
Para mais informações sobre como adicionar restrições de referenciadores de HTTP a uma chave usando a API REST, consulte Como adicionar restrições de navegador, na documentação de API de chaves de API.
Endereços IP
Especifique um ou mais endereços IP dos autores da chamada, como um servidor da Web ou um cron job, autorizados a usar a chave de API. É possível especificar os endereços IP em qualquer um dos seguintes formatos:
- IPv4 (
198.51.100.1
) - IPv6 (
2001:db8::1
) - Uma sub-rede usando a notação CIDR (
198.51.100.0/24
,2001:db8::/64
)
O uso de localhost
não é compatível com restrições de servidor.
Para restringir sua chave de API a endereços IP específicos, use uma das seguintes opções:
Console
No console do Google Cloud, acesse a página Credenciais:
Clique no nome da chave de API que você quer restringir.
Na seção Restrições de aplicativo, selecione Endereços IP.
Para cada endereço IP que você quiser adicionar, clique em Adicionar um item, insira o endereço e clique em Concluído.
Clique em Salvar para salvar as mudanças e retornar à lista de chaves de API..
gcloud
Encontre o ID da chave que você quer restringir.
O ID não é igual ao nome de exibição ou à string de chave. Para conseguir o ID, use o comando
gcloud services api-keys list
para listar as chaves do projeto.Use o comando
gcloud services api-keys update
para adicionar restrições de servidor (endereço IP) a uma chave de API.Substitua os seguintes valores:
KEY_ID
: o ID da chave que você quer restringir.ALLOWED_IP_ADDR_1
: seu endereço IP permitido.Você pode adicionar quantos endereços IP forem necessários. use vírgulas para separar os endereços.
gcloud services api-keys update KEY_ID \ --allowed-ips="ALLOWED_IP_ADDR_1"
Java
Para executar essa amostra, instale a
biblioteca de cliente google-cloud-apikeys
.
Python
Para executar esta amostra, você precisa instalar a biblioteca de cliente de chaves de API.
REST
Encontre o ID da chave que você quer restringir.
O ID não é igual ao nome de exibição ou à string de chave. Você pode conseguir o ID usando o método keys.list. O ID é listado no campo
uid
da resposta.Substitua
PROJECT_ID
pelo ID ou número do projeto do Google Cloud.curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://apikeys.googleapis.com/v2/projects/PROJECT_ID/locations/global/keys/"
Use o método keys.patch para adicionar restrições de servidor (endereço IP) a uma chave de API.
Essa solicitação retorna uma operação de longa duração. Você precisa pesquisar a operação para saber quando ela é concluída e conferir o status dela.
Substitua os seguintes valores:
ALLOWED_IP_ADDR_1
: seu endereço IP permitido.Você pode adicionar quantos endereços IP forem necessários. use vírgulas para separar as restrições. É preciso fornecer todos os endereços IP com a solicitação, as restrições do referenciador fornecidas substituem todas as restrições de endereços IP existentes na chave.
PROJECT_ID
: o nome ou ID do projeto do Google Cloud.KEY_ID
: o ID da chave que você quer restringir.
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data '{ "restrictions" : { "serverKeyRestrictions": { "allowedIps": ["ALLOWED_IP_ADDR_1"] } } }' \ "https://apikeys.googleapis.com/v2/projects/PROJECT_ID/locations/global/keys/KEY_ID?updateMask=restrictions"
Para mais informações sobre como adicionar restrições de endereço IP a uma chave usando a API REST, consulte Como adicionar restrições de servidor, na documentação de API de chaves de API.
Apps Android
É possível restringir o uso de uma chave de API a apps Android específicos. Forneça o nome do pacote e a impressão digital do certificado SHA-1 de 20 bytes para cada app.
Ao usar a chave de API em uma solicitação, é preciso especificar o nome do pacote e a impressão digital do certificado usando os seguintes cabeçalhos HTTP:
X-Android-Package
X-Android-Cert
Para restringir sua chave de API a um ou mais apps Android, use uma das seguintes opções:
Console
No console do Google Cloud, acesse a página Credenciais:
Clique no nome da chave de API que você quer restringir.
Na seção Restrições de aplicativo, selecione Apps Android.
Para cada app Android que você quer adicionar, clique em Adicionar um item, insira o nome do pacote e a impressão digital do certificado SHA-1 e clique em Concluído.
Clique em Salvar para salvar as mudanças e retornar à lista de chaves de API..
gcloud
Encontre o ID da chave que você quer restringir.
O ID não é igual ao nome de exibição ou à string de chave. Para conseguir o ID, use o comando
gcloud services api-keys list
para listar as chaves do projeto.Use o comando
gcloud services api-keys update
para especificar os apps Android que podem usar uma chave de API.Substitua os seguintes valores:
KEY_ID
: o ID da chave que você quer restringir.SHA1_FINGERPRINT
ePACKAGE_NAME
: as informações de um app Android que pode usar a chave.Você pode adicionar quantos apps quiser; use outras sinalizações
--allowed-application
.
gcloud services api-keys update KEY_ID \ --allowed-application=sha1_fingerprint=SHA1_FINGERPRINT_1,package_name=PACKAGE_NAME_1 \ --allowed-application=sha1_fingerprint=SHA1_FINGERPRINT_2,package_name=PACKAGE_NAME_2
Java
Para executar essa amostra, instale a
biblioteca de cliente google-cloud-apikeys
.
Python
Para executar esta amostra, você precisa instalar a biblioteca de cliente de chaves de API.
REST
Encontre o ID da chave que você quer restringir.
O ID não é igual ao nome de exibição ou à string de chave. Você pode conseguir o ID usando o método keys.list. O ID é listado no campo
uid
da resposta.Substitua
PROJECT_ID
pelo ID ou número do projeto do Google Cloud.curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://apikeys.googleapis.com/v2/projects/PROJECT_ID/locations/global/keys/"
Use o método keys.patch para especificar os apps Android que podem usar uma chave de API.
Essa solicitação retorna uma operação de longa duração. Você precisa pesquisar a operação para saber quando ela é concluída e conferir o status dela.
Substitua os seguintes valores:
SHA1_FINGERPRINT_1
e PACKAGE_NAME_1: as informações de um app Android que pode usar a chave.É possível adicionar as informações de quantos apps forem necessários. Use vírgulas para separar os objetos AndroidApplication. Você precisa fornecer a solicitação em todos os apps; aplicativos fornecidos substituem todos os aplicativos permitidos existentes na chave.
PROJECT_ID
: o nome ou ID do projeto do Google Cloud.KEY_ID
: o ID da chave que você quer restringir.
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data '{ "restrictions" : { "androidKeyRestrictions": { "allowedApplications": [ { "sha1Fingerprint": "SHA1_FINGERPRINT_1", "packageName": "PACKAGE_NAME_1" }, ] } } }' \ "https://apikeys.googleapis.com/v2/projects/PROJECT_ID/locations/global/keys/KEY_ID?updateMask=restrictions"
Para mais informações sobre como adicionar restrições de app Android a uma chave usando a API REST, consulte Como adicionar restrições de Android, na documentação de API de chaves de API.
Apps iOS
É possível restringir o uso de uma chave de API a apps iOS específicos fornecendo o ID do pacote de cada app.
Ao usar a chave de API em uma solicitação, é preciso especificar o ID do pacote usando
o cabeçalho HTTP X-Ios-Bundle-Identifier
.
Para restringir sua chave de API a um ou mais apps iOS, use uma das seguintes opções:
Console
No console do Google Cloud, acesse a página Credenciais:
Clique no nome da chave de API que você quer restringir.
Na seção Restrições de aplicativo, selecione Apps iOS.
Para cada app iOS que você quer adicionar, clique em Adicionar um item, insira o ID do pacote e clique em Concluído.
Clique em Salvar para salvar as mudanças e retornar à lista de chaves de API..
gcloud
Encontre o ID da chave que você quer restringir.
O ID não é igual ao nome de exibição ou à string de chave. Para conseguir o ID, use o comando
gcloud services api-keys list
para listar as chaves do projeto.Use o método
gcloud services api-keys update
para especificar os apps iOS que podem usar a chave.Substitua os seguintes valores:
KEY_ID
: o ID da chave que você quer restringir.ALLOWED_BUNDLE_ID
: o ID do pacote de um app iOS que você quer que consiga usar essa chave de API.Você pode adicionar quantos IDs de pacote forem necessários. Use vírgulas para separar os IDs.
gcloud services api-keys update KEY_ID \ --allowed-bundle-ids=ALLOWED_BUNDLE_ID_1,ALLOWED_BUNDLE_ID_2
Java
Para executar essa amostra, instale a
biblioteca de cliente google-cloud-apikeys
.
Python
Para executar esta amostra, você precisa instalar a biblioteca de cliente de chaves de API.
REST
Encontre o ID da chave que você quer restringir.
O ID não é igual ao nome de exibição ou à string de chave. Você pode conseguir o ID usando o método keys.list. O ID é listado no campo
uid
da resposta.Substitua
PROJECT_ID
pelo ID ou número do projeto do Google Cloud.curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://apikeys.googleapis.com/v2/projects/PROJECT_ID/locations/global/keys/"
Use o método keys.patch para especificar os apps iOS que podem usar uma chave de API.
Essa solicitação retorna uma operação de longa duração. Você precisa pesquisar a operação para saber quando ela é concluída e conferir o status dela.
Substitua os seguintes valores:
ALLOWED_BUNDLE_ID
: o ID do pacote de um app iOS que pode usar a chave.É possível adicionar as informações de quantos apps forem necessários. use vírgulas para separar os IDs dos pacotes. É necessário fornecer todos os IDs de pacotes com a solicitação; os IDs de pacote fornecidos substituem todos os aplicativos permitidos existentes na chave.
PROJECT_ID
: o nome ou ID do projeto do Google Cloud.KEY_ID
: o ID da chave que você quer restringir.
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data '{ "restrictions" : { "iosKeyRestrictions": { "allowedBundleIds": ["ALLOWED_BUNDLE_ID_1","ALLOWED_BUNDLE_ID_2"] } } }' \ "https://apikeys.googleapis.com/v2/projects/PROJECT_ID/locations/global/keys/KEY_ID?updateMask=restrictions"
Para mais informações sobre como adicionar restrições de app iOS a uma chave usando a API REST, consulte Como adicionar restrições de iOS, na documentação de API de chaves de API.
Adicionar restrições à API
Essas restrições especificam quais APIs podem ser chamadas com a chave de API.
Para adicionar restrições de API, use uma das seguintes opções:
Console
No console do Google Cloud, acesse a página Credenciais:
Clique no nome da chave de API que você quer restringir.
Na seção Restrições de API, clique em Restringir chave.
Selecione todas as APIs que usarão a chave de API para serem acessadas.
Clique em Salvar para salvar as mudanças e retornar à lista de chaves de API..
gcloud
Encontre o ID da chave que você quer restringir.
O ID não é igual ao nome de exibição ou à string de chave. Para conseguir o ID, use o comando
gcloud services api-keys list
para listar as chaves do projeto.Use o comando
gcloud services api-keys update
para especificar em quais serviços uma chave de API pode ser usada para autenticação.Substitua os seguintes valores:
KEY_ID
: o ID da chave que você quer restringir.SERVICE_1
,SERVICE_2
...: os nomes de serviço das APIs que poderão usar a chave para serem acessadas.É necessário fornecer todos os nomes de serviço com o comando update; os nomes de serviço fornecidos substituem todos os serviços existentes na chave.
Para encontrar o nome do serviço, pesquise a API no Painel de APIs. Os nomes de serviço são strings como
bigquery.googleapis.com
.gcloud services api-keys update KEY_ID \ --api-target=service=SERVICE_1 --api-target=service=SERVICE_2
Java
Para executar essa amostra, instale a
biblioteca de cliente google-cloud-apikeys
.
Python
Para executar esta amostra, você precisa instalar a biblioteca de cliente de chaves de API.
REST
Encontre o ID da chave que você quer restringir.
O ID não é igual ao nome de exibição ou à string de chave. Você pode conseguir o ID usando o método keys.list. O ID é listado no campo
uid
da resposta.Substitua
PROJECT_ID
pelo ID ou número do projeto do Google Cloud.curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://apikeys.googleapis.com/v2/projects/PROJECT_ID/locations/global/keys/"
Use o método keys.patch para especificar em quais serviços uma chave de API pode ser usada para autenticação.
Essa solicitação retorna uma operação de longa duração. Você precisa pesquisar a operação para saber quando ela é concluída e conferir o status dela.
Substitua os seguintes valores:
SERVICE_1
,SERVICE_2
...: os nomes de serviço das APIs que poderão usar a chave para serem acessadas.É necessário fornecer a solicitação a todos os nomes de serviço; os nomes de serviço fornecidos substituem todos os serviços existentes na chave.
Para encontrar o nome do serviço, pesquise a API no Painel de APIs. Os nomes de serviço são strings como
bigquery.googleapis.com
.PROJECT_ID
: o nome ou ID do projeto do Google Cloud.KEY_ID
: o ID da chave que você quer restringir.
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data '{ "restrictions" : { "apiTargets": [ { "service": "SERVICE_1" }, { "service" : "SERVICE_2" }, ] } }' \ "https://apikeys.googleapis.com/v2/projects/PROJECT_ID/locations/global/keys/KEY_ID?updateMask=restrictions"
Para mais informações sobre como adicionar restrições de API a uma chave usando a API REST, consulte Como adicionar restrições de API, na documentação de API de chaves de API.
Receber informações do projeto de uma string de chave
É possível determinar a que projeto do Google Cloud uma chave de API está associada por sua string.
Substitua KEY_STRING
pela string de chave de que você precisa das informações do projeto.
gcloud
Use o
comando gcloud services api-keys lookup
para conseguir o ID do projeto em uma string de chave.
gcloud services api-keys lookup KEY_STRING
Java
Para executar essa amostra, instale a
biblioteca de cliente google-cloud-apikeys
.
Python
Para executar esta amostra, você precisa instalar a biblioteca de cliente de chaves de API.
REST
Use o
método lookupKey
para receber o ID do projeto em uma string de chave.
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ "https://apikeys.googleapis.com/v2/keys:lookupKey?keyString=KEY_STRING"
Cancelar exclusão de uma chave de API
Se você excluir uma chave de API por engano, é possível cancelar a exclusão (restaurar) dessa chave até 30 dias após a exclusão. Após 30 dias, não é possível restaurar a chave de API.
Console
No console do Google Cloud, acesse a página Credenciais:
Clique em Restaurar credenciais excluídas.
Encontre a chave de API excluída e clique em Restaurar.
O cancelamento da exclusão da chave de API pode demorar alguns minutos para ser propagado. Após a propagação, a chave de API restaurada será exibida na lista de chaves de API.
gcloud
Encontre o ID da chave que você quer restaurar.
O ID não é igual ao nome de exibição ou à string de chave. Para conseguir o ID, use o comando
gcloud services api-keys list --show-deleted
para listar as chaves excluídas do projeto.Use o comando
gcloud services api-keys undelete
para cancelar a exclusão de uma chave de API.gcloud services api-keys undelete KEY_ID
Substitua os seguintes valores:
KEY_ID
: o ID da chave que você quer restaurar.
REST
Encontre o ID da chave que você quer restaurar.
O ID não é igual ao nome de exibição ou à string de chave. Para conseguir o ID, use o método keys.list com o parâmetro de consulta
showDeleted
definido comotrue
. O ID da chave é listado no campouid
da resposta.Substitua
PROJECT_ID
pelo ID ou número do projeto do Google Cloud.curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://apikeys.googleapis.com/v2/projects/PROJECT_ID/locations/global/keys?showDeleted=true"
Use o método cancelar exclusão para cancelar a exclusão da chave de API.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ "https://apikeys.googleapis.com/v2/projects/PROJECT_ID/locations/global/keys/KEY_ID:undelete"
Essa solicitação retorna uma operação de longa duração. Você precisa pesquisar a operação para saber quando ela é concluída e conferir o status dela.
Substitua os seguintes valores:
PROJECT_ID
: o nome ou ID do projeto do Google Cloud.KEY_ID
: o ID da chave que você quer restringir.
Pesquisar operações de longa duração
Os métodos de API de chaves de API usam operações de longa duração. Se você usar a API REST para criar e gerenciar chaves de API, um objeto de operação será retornado da solicitação do método inicial. Use o nome da operação para pesquisar a operação de longa duração. Quando a solicitação de longa duração é concluída, a pesquisa da operação retorna os dados da solicitação de longa duração.
Para pesquisar uma operação de API de chaves de API de longa duração, use o
método operations.get
.
Substitua OPERATION_NAME
pelo nome da operação retornada pela operação de longa duração. Por exemplo, operations/akmf.p7-358517206116-cd10a88a-7740-4403-a8fd-979f3bd7fe1c
.
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ "https://apikeys.googleapis.com/v2/OPERATION_NAME"
Limites das chaves de API
É possível criar até 300 chaves de API por projeto. Esse é um limite do sistema e não pode ser alterado usando uma solicitação de aumento de cota.
Se mais chaves de API forem necessárias, use mais de um projeto.
A seguir
- Saiba mais sobre as práticas recomendadas para manter as chaves de API seguras.
- Saiba mais sobre a API de chaves de API.
Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.
Última atualização 2024-12-22 UTC.