Indicazioni sulla sicurezza di Google Maps Platform

Per le app e i progetti che utilizzano le API e gli SDK Google Maps Platform, devi obbligatoriamente utilizzare le chiavi API o, se supportato, OAuth per impedire l'utilizzo e gli addebiti non autorizzati. Se utilizzi le chiavi API, per la massima sicurezza, limita le chiavi API quando le crei. Queste best practice mostrano come limitarli.

Oltre ad applicare le limitazioni delle API e delle applicazioni, segui le pratiche di sicurezza che si applicano a prodotti Google Maps Platform specifici. Ad esempio, consulta l'API Maps JavaScript di seguito in Limitazioni consigliate per le API e le applicazioni.

Se le tue chiavi API sono già in uso, consulta i suggerimenti riportati di seguito in Se stai limitando o rigenerando una chiave API in uso.

Per ulteriori dettagli sulle firme digitali, consulta la Guida alle firme digitali.

Best practice consigliate

Per una maggiore sicurezza ed evitare di ricevere fatture per un utilizzo non autorizzato, segui queste best practice per la sicurezza delle API per tutte le API, gli SDK o i servizi Google Maps Platform:

Limita le chiavi API

Utilizza chiavi API separate per ogni app

Eliminare le chiavi API inutilizzate

Controllare l'utilizzo della chiave API

Fai attenzione quando rigeneri le chiavi API

Consigli aggiuntivi per i siti web che utilizzano le API web statiche

Proteggere le app che utilizzano API web statiche

Altri consigli per le app che utilizzano servizi web

Proteggere le app che utilizzano servizi web

Altri consigli per le applicazioni mobile per iOS e Android

Proteggere le app mobile che utilizzano API web statiche o di servizio web

Se stai limitando o rigenerando una chiave API in uso

  • Prima di modificare la chiave API, controlla l'utilizzo della chiave API. Questo passaggio è particolarmente importante se aggiungi limitazioni dopo che la chiave è in uso.

  • Dopo aver modificato la chiave, aggiorna tutte le app con le nuove chiavi API, se necessario.

  • Se non sono presenti abusi attivi della tua chiave API, puoi eseguire la migrazione delle tue app a più nuove chiavi API in base alle tue tempistiche, lasciando invariata la chiave API originale finché non visualizzi un solo tipo di traffico, a cui puoi quindi limitare le chiavi API con una limitazione per le applicazioni. Per ulteriori istruzioni, consulta la pagina Eseguire la migrazione a più chiavi API.

    Monitora l'utilizzo nel tempo e scopri quando API, tipi di piattaforme e domini specifici sono stati migrati dalla vecchia chiave API prima di scegliere di limitarla o eliminarla. Per ulteriori informazioni, consulta Report e monitoraggio e Metriche.

  • Se la tua chiave API è stata compromessa, devi agire più rapidamente per proteggerla e interrompere l'abuso. Nelle app per Android e iOS, le chiavi non vengono sostituite fino a quando i clienti non aggiornano le app. L'aggiornamento o la sostituzione delle chiavi in JavaScript o nelle app di servizio web è molto più semplice, ma potrebbe comunque richiedere una pianificazione attenta e un lavoro rapido.

    Per saperne di più, consulta Gestire l'uso non autorizzato di una chiave API.

Limita le chiavi API

La best practice è limitare sempre le chiavi API con una limitazione dell'applicazione e una o più restrizioni delle API. Per le limitazioni suggerite per API, SDK o servizio JavaScript, consulta Limitazioni consigliate per app e API di seguito.

  • Limitazione delle applicazioni Puoi limitare l'utilizzo di una chiave API a piattaforme specifiche: applicazioni Android o iOS oppure siti web specifici per applicazioni lato client oppure indirizzi IP o sottoreti CIDR specifici per app lato server che emettono chiamate all'API REST del servizio web.

    Puoi limitare una chiave aggiungendo una o più limitazioni per le applicazioni dei tipi che vuoi autorizzare, dopodiché sono consentite solo le richieste provenienti da queste origini.

  • Restrizioni delle API Puoi limitare le API, gli SDK o i servizi di Google Maps Platform su cui può essere utilizzata la tua chiave API. Le restrizioni delle API consentono solo richieste alle API e agli SDK specificati. Per una determinata chiave API, puoi specificare tutte le restrizioni API necessarie. L'elenco delle API disponibili include tutte le API abilitate in un progetto.

Impostare una limitazione delle applicazioni per una chiave API

  1. Apri la pagina Credenziali di Google Maps Platform nella console Google Cloud.

  2. Seleziona la chiave API che vuoi limitare.

  3. Nella pagina Modifica chiave API, in Restrizioni chiave, seleziona Imposta una restrizione delle applicazioni.

    Pagina di modifica della chiave API

  4. Seleziona uno dei tipi di limitazioni e fornisci le informazioni richieste in base all'elenco delle limitazioni.

    Tipo di restrizione Descrizione
    Siti web Specifica uno o più siti web di referrer.
    • Gli schemi URI referrer universalmente supportati sono https e http.
    • Fornisci sempre l'URI completo del referrer, inclusi lo schema del protocollo, il nome host e la porta facoltativa (ad es. https://google.com).
    • Puoi utilizzare i caratteri jolly per autorizzare tutti i sottodomini. Ad esempio, https://*.google.com accetta tutti i siti che terminano con .google.com. Tieni presente che se specifichi www.domain.com, questo agisce come carattere jolly www.domain.com/* e autorizza qualsiasi percorso secondario per quell'hostname.
    • Fai attenzione quando autorizzi i referrer con percorso completo, ad esempio https://google.com/some/path, poiché per impostazione predefinita la maggior parte dei browser attuali rimuove il percorso dalle richieste cross-origin.
    Indirizzi IP Specifica uno o più indirizzi IPv4 o IPv6 o subnet utilizzando la notazione CIDR. Gli indirizzi IP devono corrispondere all'indirizzo di origine rilevato dai server di Google Maps Platform. Se utilizzi la Network Address Translation (NAT), questo indirizzo corrisponde in genere all'indirizzo IP pubblico della tua macchina.
    App Android Aggiungi il nome del pacchetto Android (dal file AndroidManifest.xml) e l'impronta del certificato di firma SHA-1 di ogni applicazione Android che vuoi autorizzare. Se utilizzi la firma dell'app di Google Play, per recuperare la fingerprint del certificato di firma, consulta Lavorare con i fornitori di API. Se gestisci la tua chiave di firma, consulta Firma autonomo dell'applicazione o fai riferimento alle istruzioni per il tuo ambiente di compilazione.
    App per iOS Aggiungi l'identificatore gruppo di ogni applicazione per iOS che vuoi autorizzare.

    Per consigli su una limitazione delle applicazioni, consulta Limitazione delle applicazioni consigliata.

  5. Seleziona Salva.

Impostare le restrizioni delle API per una chiave API

  1. Apri la pagina Credenziali di Google Maps Platform nella console Google Cloud.

  2. Seleziona la chiave API che vuoi limitare.

  3. Nella pagina Modifica chiave API, in Restrizioni API:

    • Seleziona Limita chiave.

    • Apri Seleziona API e seleziona le API o gli SDK a cui vuoi che la tua applicazione acceda utilizzando la chiave API.

      Se un'API o un SDK non è presente nell'elenco, devi abilitarlo. Per maggiori dettagli, consulta Attivare una o più API o SDK.

    Limitare un'API nella pagina Modifica chiave API

  4. Seleziona Salva.

    La limitazione diventa parte della definizione della chiave API dopo questo passaggio. Assicurati di fornire i dettagli appropriati e seleziona Salva per salvare le limitazioni delle chiavi API. Per ulteriori informazioni, consulta la guida Ottieni una chiave API nella documentazione dell'API o dell'SDK specifico di tuo interesse.

Per le restrizioni delle API consigliate, consulta Restrizioni delle API consigliate.

Controllare l'utilizzo della chiave API

Se stai limitando le chiavi API dopo la loro creazione o se vuoi vedere quali API vengono utilizzate da una chiave per poterle limitare, devi controllare l'utilizzo delle chiavi API. Questi passaggi mostrano in quali servizi e metodi API viene utilizzata una chiave API. Se noti un utilizzo oltre i servizi di Google Maps Platform, valuta se è necessario aggiungere altre limitazioni per evitare un utilizzo indesiderato. Puoi utilizzare lo strumento di esplorazione delle metriche della console Cloud di Google Maps Platform per aiutarti a determinare quali limitazioni per API e applicazioni applicare alla tua chiave API:

Determina le API che utilizzano la tua chiave API

I seguenti report sulle metriche ti consentono di determinare quali API utilizzano le tue chiavi API. Utilizza questi report per:

  • Scopri come vengono utilizzate le tue chiavi API
  • Individuare un utilizzo imprevisto
  • Aiuta a verificare se è possibile eliminare una chiave inutilizzata. Per informazioni sull'eliminazione di una chiave API, consulta Eliminare le chiavi API inutilizzate.

Quando applichi le restrizioni delle API, utilizza questi report per creare un elenco di API da autorizzare o per convalidare i consigli per le restrizioni delle chiavi API generati automaticamente. Per ulteriori informazioni sulle limitazioni consigliate, consulta Applicare le limitazioni consigliate. Per saperne di più sull'utilizzo di Metrics Explorer, consulta Creare grafici con Metrics Explorer.

  1. Vai a Esplora metriche nella console Google Cloud.

  2. Accedi e seleziona il progetto per le chiavi API che vuoi controllare.

  3. Vai alla pagina Esplora metriche per il tuo tipo di API:

  4. Controlla ogni chiave API:

    1. Seleziona AGGIUNGI FILTRO.

    2. Seleziona l'etichetta credential_id.

    3. Seleziona il valore corrispondente alla chiave che vuoi ispezionare.

    4. Prendi nota delle API per le quali viene utilizzata questa chiave API e conferma che l'utilizzo sia previsto.

    5. Al termine, seleziona Rimuovi filtro alla fine della riga del filtro attivo per eliminare il filtro aggiuntivo.

  5. Ripeti l'operazione per le eventuali chiavi rimanenti.

  6. Limita le chiavi API solo alle API in uso.

  7. Se rilevi un utilizzo non autorizzato, consulta Gestire l'utilizzo non autorizzato di una chiave API.

Scegliere il tipo corretto di limitazione dell'applicazione utilizzando Metrics Explorer

Dopo aver verificato e intrapreso le azioni necessarie per assicurarti che la chiave API venga utilizzata solo per i servizi Google Maps Platform in uso, assicurati inoltre che la chiave API abbia le limitazioni di applicazione corrette.

Se la tua chiave API ha restrizioni consigliate, applicale. Per ulteriori informazioni, consulta Applicare le restrizioni consigliate per le chiavi API.

Se la tua chiave API non ha suggerimenti sulle restrizioni, determina il tipo di limitazione dell'applicazione da applicare in base al valore platform_type registrato utilizzando lo strumento di esplorazione delle metriche:

  1. Vai a Esplora metriche nella console Google Cloud.

  2. Accedi e seleziona il progetto per le API che vuoi controllare.

  3. Vai a questa pagina di Esplora metriche: Esplora metriche.

  4. Controlla ogni chiave API:

    1. Seleziona AGGIUNGI FILTRO.

    2. Seleziona l'etichetta credential_id.

    3. Seleziona il valore corrispondente alla chiave che vuoi ispezionare.

    4. Al termine, seleziona Rimuovi filtro alla fine della riga del filtro attivo per eliminare il filtro aggiuntivo.

  5. Ripeti l'operazione per le eventuali chiavi rimanenti.

  6. Una volta ottenuto il tipo di piattaforma per le tue chiavi API, applica la limitazione dell'applicazione per la piattaforma platform_type:

    PLATFORM_TYPE_JS
    Applica le limitazioni dei siti web alla chiave.
    PLATFORM_TYPE_ANDROID
    Applica le limitazioni delle applicazioni Android alla chiave.
    PLATFORM_TYPE_IOS
    Applica le limitazioni delle applicazioni iOS alla chiave.
    PLATFORM_TYPE_WEBSERVICE
    Potresti dover fare affidamento sulle restrizioni per gli indirizzi IP della chiave per limitarla correttamente. Per altre opzioni per l'API Maps Static e l'API Street View Static, consulta Proteggere le app che utilizzano API web statiche. Per ulteriori istruzioni sull'API Maps Embed, consulta Siti web con l'API Maps Embed.
    La mia chiave API utilizza più tipi di piattaforme
    Il traffico non può essere protetto correttamente con una sola chiave API. Devi eseguire la migrazione a più chiavi API. Per maggiori informazioni, consulta la pagina Eseguire la migrazione a più chiavi API.

Utilizza chiavi API separate per ogni app

Questa pratica limita l'ambito di ogni chiave. Se una chiave API viene compromessa, puoi eliminare o rigenerare la chiave interessata senza dover aggiornare le altre chiavi API. Puoi creare fino a 300 chiavi API per progetto. Per ulteriori informazioni, consulta Limiti per le chiavi API.

Sebbene una chiave API per applicazione sia l'ideale per motivi di sicurezza, puoi utilizzare chiavi con limitazioni su più app, a condizione che utilizzino lo stesso tipo di limitazione delle applicazioni.

Applica le limitazioni consigliate per le chiavi API

Per alcuni proprietari e editor di progetti, la console Google Cloud suggerisce limitazioni specifiche per le chiavi API senza restrizioni in base all'utilizzo e all'attività di Google Maps Platform.

Se disponibili, i consigli vengono visualizzati come opzioni precompilate nella pagina Credenziali di Google Maps Platform.

Motivi per cui potresti non vedere un consiglio o un consiglio incompleto

  • Utilizzi (anche) la chiave API su servizi diversi da quelli di Google Maps Platform. Se noti un utilizzo su altri servizi, non applicare il suggerimento senza prima eseguire quanto segue:

    1. Verifica che l'utilizzo dell'API visualizzato in Metrics Explorer della console Google Cloud sia legittimo.

    2. Aggiungi manualmente i servizi mancanti all'elenco delle API da autorizzare.

    3. Aggiungi manualmente eventuali restrizioni per le applicazioni mancanti per i servizi aggiunti all'elenco delle API. Se l'altra chiave aggiunta richiede un tipo diverso di limitazioni per le applicazioni, consulta Eseguire la migrazione a più chiavi API.

  • La chiave API non viene utilizzata in API o SDK lato client.

  • Utilizzi la chiave API in un'app o un sito web a basso volume che non è stato utilizzato negli ultimi 60 giorni.

  • Hai creato una nuova chiave di recente o hai di recente implementato una chiave esistente in una nuova app. In questo caso, attendi qualche giorno in più per consentire l'aggiornamento dei consigli.

  • Utilizzi la chiave API in più applicazioni che richiedono tipi di limitazioni delle applicazioni in conflitto o utilizzi la stessa chiave API in troppe app o su troppi siti web diversi. In entrambi i casi, come best practice, devi eseguire la migrazione a più chiavi. Per maggiori dettagli, consulta Eseguire la migrazione a più chiavi API.

Motivi per cui potresti vedere consigli non visibili nei grafici

  • La tua app o il tuo sito web ha inviato solo picchi di traffico molto brevi. In questo caso, passa da una visualizzazione GRAFICO a una TABELLA o ENTRAMBI, poiché l'utilizzo è ancora visibile nella legenda. Per ulteriori informazioni, consulta Attivare/disattivare le legende complete del grafico.

  • Il traffico proviene dall'API Maps Embed. Per istruzioni, consulta Determinare le API che utilizzano la tua chiave API.

  • Il traffico proveniente dall'app o dal sito web non rientra nell'intervallo di date disponibile nell'esploratore delle metriche della console Google Cloud.

  1. Apri la pagina Credenziali di Google Maps Platform nella console Google Cloud.

  2. Se disponibile, seleziona Applica limitazioni consigliate.

    Applica limitazioni consigliate

    Nota: se non vedi restrizioni consigliate, consulta Impostare le restrizioni dell'API per una chiave API per impostare le restrizioni appropriate.

  3. Seleziona Controlla l'utilizzo dell'API per verificare su quali servizi viene utilizzata la chiave API. Se vedi altri servizi oltre a quelli di Google Maps Platform, interrompi per esaminare manualmente i passaggi del consiglio riportati sopra. Consulta la procedura di risoluzione dei problemi all'inizio della sezione Applicare le restrizioni consigliate per le chiavi API.

  4. Verifica che le limitazioni precompilate corrispondano ai siti web e alle app dove prevedi di utilizzare la tua chiave API.

    Best practice: documenta e rimuovi eventuali limitazioni relative ad applicazioni o API che non sono affiliate ai tuoi servizi. Se si verifica un problema a causa di una dipendenza imprevista, puoi aggiungere nuovamente le app o le API richieste.

    • Se ritieni che un'app, un sito web o un'API manchi chiaramente nel tuo recommendation, aggiungilo manualmente o attendi un paio di giorni per consentire l'aggiornamento del recommendation.

    • Se hai bisogno di ulteriore assistenza per il consiglio suggerito, contatta l'assistenza.

  5. Seleziona Applica.

Cosa fare se la tua richiesta viene rifiutata dopo l'applicazione di un consiglio

Se noti che un'app o un sito web viene rifiutato dopo l'applicazione di una limitazione, cerca la limitazione dell'applicazione da aggiungere nel messaggio di errore della risposta dell'API.

Per gli SDK lato client, consulta di seguito:

Per controllare le limitazioni delle API richieste, consulta Determinare le API che utilizzano la tua chiave API.

Se non riesci a determinare quali restrizioni applicare:

  1. Documenta le limitazioni attuali per riferimento futuro.
  2. Rimuovili temporaneamente mentre esamini il problema. Puoi controllare il tuo utilizzo nel tempo seguendo la procedura descritta in Controllare l'utilizzo della chiave API.
  3. Se necessario, contatta l'assistenza.

Eliminare le chiavi API inutilizzate

Prima di eliminare una chiave API, assicurati che non sia utilizzata in produzione. Se non viene registrato traffico, è probabile che la chiave possa essere eliminata in sicurezza. Per ulteriori informazioni, vedi Controllare l'utilizzo della chiave API.

Per eliminare una chiave API:

  1. Apri la pagina Credenziali di Google Maps Platform nella console Google Cloud.

  2. Seleziona la chiave API che vuoi eliminare.

  3. Seleziona il pulsante Elimina nella parte superiore della pagina.

  4. Nella pagina Elimina credenziale, seleziona Elimina.

    L'eliminazione di una chiave API richiede alcuni minuti per essere propagata. Al termine della propagazione, tutto il traffico che utilizza la chiave API eliminata viene rifiutato.

Fai attenzione quando rigeneri le chiavi API

La rigenerazione di una chiave API crea una nuova chiave con tutte le limitazioni della vecchia chiave. Questo processo avvia anche un timer di 24 ore al termine del quale la vecchia chiave API viene eliminata.

Durante questo periodo di tempo, vengono accettate sia la vecchia che la nuova chiave, dandoti la possibilità di eseguire la migrazione delle tue app per utilizzare la nuova chiave. Tuttavia, al termine di questo periodo di tempo, tutte le app che utilizzano ancora la vecchia chiave API smetteranno di funzionare.

Prima di rigenerare una chiave API:

  • Innanzitutto, prova a limitare le chiavi API come descritto in Limitare le chiavi API.

  • Se non è possibile limitare la chiave API a causa di tipi di limitazioni delle applicazioni in conflitto, esegui la migrazione a più nuove chiavi (con limitazioni) come descritto in Eseguire la migrazione a più chiavi API. La migrazione consente di controllare la migrazione e le tempistiche di implementazione delle nuove chiavi API.

Se i suggerimenti precedenti non sono possibili e devi rigenerare la chiave API per impedire l'uso non autorizzato, segui questi passaggi:

  1. Apri la pagina Credenziali di Google Maps Platform nella console Google Cloud.

  2. Apri la chiave API che vuoi rigenerare.

  3. Nella parte superiore della pagina, seleziona Rigenera chiave.

  4. Seleziona Sostituisci chiave.

Nota: se necessario, puoi eseguire il rollback di qualsiasi chiave rigenerata alla sua versione precedente. Non ci sono limiti di tempo per il rollback.

Per eseguire il rollback di una chiave rigenerata

  1. Apri la pagina Credenziali di Google Maps Platform nella console Google Cloud.

  2. Apri la chiave API di cui vuoi eseguire il rollback.

  3. Seleziona Ripristina chiave precedente.

  4. Nella finestra di dialogo Ripristina, seleziona Ripristina chiave.

Al termine del rollback, la precedente "nuova" versione della chiave diventa la versione precedente e viene impostato un nuovo timer di disattivazione di 24 ore. È possibile eseguire il rollback tra questi due valori chiave fino a quando non rigeneri di nuovo la chiave.

Se rigeneri di nuovo la chiave, il vecchio valore della chiave inattiva viene sovrascritto.

Eseguire la migrazione a più chiavi API

Per eseguire la migrazione dall'utilizzo di una chiave API per più app a una singola chiave API univoca per ogni app, procedi nel seguente modo:

  1. Identifica le app che richiedono nuove chiavi:

    • Le app web sono le più semplici da aggiornare, poiché controlli tutto il codice. Pianifica di aggiornare le chiavi di tutte le tue app web.
    • Le app mobile sono molto più difficili, poiché i clienti devono aggiornare le proprie app prima che le nuove chiavi possano essere utilizzate.
  2. Crea e limita le nuove chiavi: aggiungi sia una restrizione delle applicazioni sia almeno una restrizione delle API. Per ulteriori informazioni, consulta le best practice consigliate.

  3. Aggiungi le nuove chiavi alle tue app: per le app mobile, questa procedura può richiedere mesi fino a quando tutti gli utenti non eseguiranno l'aggiornamento all'app più recente con la nuova chiave API.

Proteggere le app che utilizzano API web statiche

Le API web statiche, come l'API Maps Static e l'API Street View Static, sono simili alle chiamate API del servizio web.

Chiamate entrambe utilizzando una semplice API REST HTTPS e in genere generi l'URL della richiesta API sul server. Tuttavia, anziché restituire una risposta JSON, le API web statiche generano un'immagine che puoi incorporare nel codice HTML generato. Ancora più importante, in genere è il client dell'utente finale, non il server, a chiamare il servizio Google Maps Platform.

Utilizzare una firma digitale

Come best practice, utilizza sempre le firme digitali oltre a una chiave API. Inoltre, controlla quante richieste non firmate vuoi consentire al giorno e modifica le quote di richieste non firmate di conseguenza.

Per ulteriori dettagli sulle firme digitali, consulta la Guida alle firme digitali.

Proteggi il tuo segreto di firma

Per proteggere le API web statiche, non incorporare i secret di firma dell'API direttamente nel codice o nella struttura di origine né esporli nelle applicazioni lato client. Segui queste best practice per proteggere i tuoi secret di firma:

  • Firma le richieste lato server, non sul client. Se esegui la firma lato client in JavaScript, la esponi a chiunque visiti il tuo sito. Pertanto, per le immagini generate dinamicamente, genera sempre gli URL delle richieste firmate dell'API Maps Static e dell'API Street View Static lato server quando pubblichi la pagina web. Per i contenuti web statici, puoi utilizzare il widget Firma un URL ora nella pagina Credenziali di Google Maps Platform della console Cloud.

  • Memorizza i secret di firma al di fuori del codice sorgente e dell'albero di origine dell'applicazione. Se inserisci i secret di firma o altre informazioni private nelle variabili di ambiente o includi file archiviati separatamente e poi condividi il codice, i secret di firma non vengono inclusi nei file condivisi. Se memorizzi i secret di firma o altre informazioni private in file, tienili al di fuori dell'albero di origine dell'applicazione per mantenerli al di fuori del sistema di controllo del codice sorgente. Questa precauzione è particolarmente importante se utilizzi un sistema di gestione del codice sorgente pubblico, come GitHub.

Proteggere la chiave API nelle app che utilizzano servizi web

Memorizza le chiavi API al di fuori del codice sorgente o dell'albero di origine dell'applicazione. Se inserisci le tue chiavi API o altre informazioni nelle variabili di ambiente o includi file archiviati separatamente e poi condividi il codice, le chiavi API non sono incluse nei file condivisi. Questo è particolarmente importante se utilizzi un sistema di gestione del codice sorgente pubblico, come GitHub.

Proteggi la chiave API e il secret di firma nelle app mobile che utilizzano servizi web o API web statiche

Per proteggere le app mobile, utilizza un keystore o un server proxy sicuro:

  • Memorizza la chiave API o il secret di firma in un archivio chiavi sicuro. Questo passaggio ostacola lo scraping delle chiavi API e di altri dati privati direttamente dall'applicazione.

  • Utilizza un server proxy sicuro. Il server proxy fornisce una fonte solida per interagire con l'API Google Maps Platform appropriata. Per ulteriori informazioni sull'utilizzo di un server proxy, consulta Vivere per procura: utilizzo di server proxy con le librerie client dell'API Google Data.

    • Crea le richieste di Google Maps Platform sul server proxy. Non consentire ai client di inoltrare chiamate API arbitrarie tramite il proxy.

    • Esegui il post-trattamento delle risposte di Google Maps Platform sul server proxy. Filtra i dati non necessari per il cliente.

Utilizzare App Check per proteggere la chiave API

Alcuni SDK e API Maps ti consentono di eseguire l'integrazione con Firebase App checked. App Check fornisce protezione per le chiamate dalla tua app a Google Maps Platform bloccando il traffico proveniente da origini diverse dalle app legittime. Per farlo, controlla la presenza di un token di un fornitore di attestazioni. L'integrazione delle tue app con App Check contribuisce a proteggerti dalle richieste dannose, in modo che non ti vengano addebitati costi per chiamate API non autorizzate.

Istruzioni per l'integrazione di App Check:

Gestire l'utilizzo non autorizzato di una chiave API

Se rilevi un utilizzo non autorizzato della tua chiave API, svolgi i seguenti passaggi per risolvere il problema:

  1. Limita le chiavi: se hai utilizzato la stessa chiave in più app, migra a più chiavi API e utilizza chiavi API separate per ogni app. Per maggiori dettagli, consulta:

  2. Ringenera le chiavi solo se non riesci a limitarle. Leggi la sezione Fai attenzione quando rigeneri le chiavi API prima di procedere.

  3. Se i problemi persistono o hai bisogno di aiuto, contatta l'assistenza.

Restrizioni consigliate per le applicazioni e le API

Le sezioni seguenti suggeriscono limitazioni appropriate per le applicazioni e le API per ogni API, SDK o servizio Google Maps Platform.

Restrizioni API consigliate

Le seguenti linee guida per le limitazioni delle API si applicano all'intera Google Maps Platform:

  • Limita la tua chiave API solo alle API per cui la utilizzi, con le seguenti eccezioni:

    • Se la tua app utilizza Places SDK for Android o Places SDK for iOS, autorizza l'API Places.

    • Se la tua app utilizza l'API Maps JavaScript, autorizzala sempre sulla tua chiave.

    • Se utilizzi anche uno dei seguenti servizi dell'API Maps JavaScript, devi autorizzare anche le seguenti API:

    Servizio Restrizione delle API
    Servizio Directions, API Maps JavaScript API Directions
    Servizio Distance Matrix, API Maps JavaScript API Distance Matrix
    Servizio Elevation, API Maps JavaScript API Elevation
    Servizio Geocoding, API Maps JavaScript API Geocoding
    API Places Library, Maps JavaScript API Places

Ecco alcuni esempi:

  • Utilizzi Maps SDK for Android e Places SDK for Android, quindi includi Maps SDK for Android e l'API Places come limitazioni dell'API.

  • Il tuo sito web utilizza il servizio di elevazione dell'API Maps JavaScript e l'API Maps Static, quindi aggiungi le limitazioni per tutte le seguenti API:

    • API Maps JavaScript
    • API Elevation
    • API Maps Static

Limitazione delle applicazioni consigliata

Siti web con API Maps JavaScript o API web statica

Per i siti web che utilizzano i servizi Maps JavaScript o le API web statiche, utilizza la limitazione delle applicazioniWebsites.

Da utilizzare per i siti web che utilizzano questi servizi e API JavaScript:

1 Per le applicazioni mobile, ti consigliamo di utilizzare il Maps SDK for Android e il Maps SDK for iOS nativi.

2 Consulta anche Proteggere le app mobile che utilizzano un servizio web o API web statiche.

Siti web con l'API Maps Embed

Sebbene l'utilizzo dell'API Maps Embed sia senza costi, devi comunque limitare qualsiasi chiave API utilizzata per impedire abusi su altri servizi.

Best practice: crea una chiave API separata per l'utilizzo dell'API Maps Embed e limita questa chiave solo all'API Maps Embed. Questa limitazione garantisce una protezione sufficiente della chiave, impedendone l'utilizzo non autorizzato su qualsiasi altro servizio Google.

Se non riesci a separare l'utilizzo dell'API Maps Embed in una chiave API separata, proteggi la chiave utilizzando la limitazione delle applicazioni Websites.

App e server che utilizzano servizi web

Per le app e i server che utilizzano servizi web, utilizza la IP addresses limitazione delle applicazioni.

Da utilizzare per app e server che utilizzano queste API:

3 Per le applicazioni mobile, ti consigliamo di utilizzare Places SDK for Android e Places SDK for iOS.

App Android

Per le app su Android, utilizza la limitazione delle applicazioni Android apps. Da utilizzare per app e server che utilizzano questi SDK:

Inoltre, evita di controllare accidentalmente le chiavi API nel controllo versione utilizzando il plug-in Gradle Secrets per iniettare i secret da un file locale anziché archiviarli nel file Android Manifest.

App per iOS

Per le app su iOS, utilizza la limitazione delle applicazioni iOS apps. Da utilizzare per app e server che utilizzano questi SDK: