Indicazioni sulla sicurezza di Google Maps Platform

Per le app e i progetti che utilizzano le API e gli SDK di Google Maps Platform, devono utilizzare chiavi API o, se supportato, OAuth, per impedire l'uso non autorizzato e addebiti. Se utilizzi chiavi API, per la massima sicurezza, limita le tue chiavi API quando le crei tu. Queste best practice mostrano come limitarli.

Oltre ad applicare limitazioni relative alle chiavi API e dell'applicazione, segui pratiche di sicurezza applicabili a prodotti specifici di Google Maps Platform. Ad esempio, consulta l'API Maps JavaScript di seguito in Restrizioni consigliate per applicazioni e API.

Se le tue chiavi API sono già in uso, esamina i consigli riportati di seguito in Se stai limitando o rigenerando una chiave API in uso.

Per ulteriori dettagli sulle firme digitali, vedi Guida alla firma digitale.

Best practice consigliate

Per maggiore sicurezza e per evitare che ti venga addebitato l'uso non autorizzato, segui queste best practice per la sicurezza delle API per tutte le API, gli SDK o Google Cloud:

Consigliata per tutti gli utilizzi delle chiavi API

Limitare le chiavi API

Usare chiavi API separate per ogni app

Elimina le chiavi API inutilizzate

Controllare l'utilizzo della chiave API

Fai attenzione durante la rigenerazione delle chiavi API

Suggerimenti aggiuntivi per i siti web che utilizzano le API Static Web

Proteggere le app utilizzando API web statiche

Ulteriori consigli per le app che utilizzano i servizi web

Proteggere le app usando i servizi web

Ulteriori consigli per le app mobile iOS e Android

Proteggere le app mobile utilizzando i servizi web o le API web statiche

Se stai limitando o rigenerando una chiave API in uso

• Prima di cambiare la chiave API, controlla l'utilizzo della chiave API. Questo passaggio è particolarmente importante se aggiungi limitazioni dopo la chiave è in uso.

• Dopo aver modificato la chiave, aggiorna tutte le tue app con le nuove chiavi API, necessaria.

• Se non viene rilevato alcun abuso attivo della tua chiave API, puoi eseguire la migrazione delle tue app in più nuove chiavi API secondo i tuoi tempi, lasciando la chiave API originale inalterata finché non vedi un solo tipo di traffico, a cui puoi quindi limitare l'API con una limitazione dell'applicazione. Per ulteriori istruzioni, vedi Esegui la migrazione a più chiavi API.

  Monitora l'utilizzo nel tempo e scopri quando API, tipi di piattaforma e di domini hanno eseguito la migrazione dalla vecchia chiave API prima di scegliere di limitare o elimina la vecchia chiave. Per ulteriori informazioni, vedi Generazione di report e monitoraggio e Metriche.

• Se la tua chiave API è stata compromessa, passa più rapidamente alla sicurezza la chiave API e interrompere l'abuso. Nelle app per Android e iOS, le chiavi non vengono sostituite finché i clienti non aggiornano le loro app. L'aggiornamento o la sostituzione di chiavi in JavaScript le app dei servizi web sono molto più semplici, ma potrebbero comunque richiedere un'attenta pianificazione e un lavoro rapido.

  Per ulteriori informazioni, vedi Gestire l'uso non autorizzato di una chiave API.

Limita le tue chiavi API

La best practice è limitare sempre le chiavi API con un'applicazione e una o più restrizioni dell'API. Per le limitazioni suggerite dall'API, per SDK, o servizio JavaScript, consulta Restrizioni consigliate per applicazioni e API riportate di seguito.

• Limitazione dell'applicazione Puoi limitare l'utilizzo di una chiave API a specifiche piattaforme: applicazioni per Android o iOS o siti web specifici per lato client o indirizzi IP specifici o subnet CIDR per le app lato server l'emissione di chiamate API REST per i servizi web.

  Puoi limitare una chiave aggiungendo una o più limitazioni delle applicazioni dei tipi da autorizzare, dopodiché verranno richieste solo le richieste provenienti da questi origini siano consentite.

• Restrizioni delle API Puoi limitare quali API Google Maps Platform, Gli SDK o i servizi su cui è possibile utilizzare la chiave API. Solo limitazioni API consentire le richieste alle API e agli SDK specificati. Per ogni chiave API specifica, puoi specificare tutte le restrizioni dell'API necessarie. L'elenco delle API disponibili include tutte le API abilitate su un progetto.

Imposta una limitazione delle applicazioni per una chiave API

1. Apri la console Google Cloud Credenziali di Google Maps Platform .

2. Seleziona la chiave API che vuoi limitare.

3. Nella pagina Modifica chiave API, in Limitazioni delle chiavi, seleziona Imposta una limitazione delle applicazioni.

   

4. Seleziona uno dei tipi di restrizioni e fornisci le informazioni richieste seguendo l'elenco delle restrizioni.

   Tipo di limitazione	Descrizione
   Siti web	Specifica uno o più siti web referrer. Gli schemi URI dei referrer supportati universalmente https e http. Fornisci sempre l'URI del referrer completo, includendo lo schema del protocollo, il nome host e la porta facoltativa (ad es. https://google.com). Puoi utilizzare caratteri jolly per autorizzare tutti i sottodomini. Per Ad esempio, https://*.google.com accetta tutti i siti che terminano nel mese di .google.com. Tieni presente che se specifichi www.dominio.com, funge da carattere jolly www.dominio.com/* e autorizza tutti i percorsi secondari di quel nome host. Fai attenzione quando autorizzi i referrer a percorso completo, ad esempio https://google.com/some/path, come, per impostazione predefinita, la maggior parte i browser attuali eliminano il percorso dalle richieste multiorigine.
   Indirizzi IP	Specifica uno o più indirizzi IPv4 o IPv6 oppure subnet utilizzando CIDR la notazione. Gli indirizzi IP devono corrispondere all'indirizzo di origine Osservazione dei server di Google Maps Platform. Se utilizzi Network Address Translation (NAT), in genere questo indirizzo corrisponde al pubblico della tua macchina Indirizzo IP.
   App Android	Aggiungi il nome del pacchetto Android (dal AndroidManifest.xml) e l'algoritmo SHA-1 l'impronta digitale del certificato di firma di ogni app Android che vuoi da autorizzare. Se utilizzi la firma dell'app di Google Play, per recuperare l'impronta digitale del certificato di firma, consulta la sezione Collaborazione con i provider API. Se gestisci autonomamente la tua chiave di firma, consulta Autofirmare la richiesta o consulta le istruzioni per l'ambiente di build.
   App per iOS	Aggiungi l'identificatore pacchetto di ogni applicazione iOS che vuoi da autorizzare.

   Per consigli su una limitazione delle applicazioni, vedi Limitazione consigliata per le applicazioni.

5. Seleziona Salva.

Impostare restrizioni API per una chiave API

1. Apri la console Google Cloud Credenziali di Google Maps Platform .

2. Seleziona la chiave API che vuoi limitare.

3. Nella sezione Limitazioni API della pagina Modifica chiave API:

   • Seleziona Limita chiave.

   • Apri Seleziona API e seleziona le API o gli SDK che ti interessano. alla tua applicazione di accedere tramite la chiave API.

     Se un'API o un SDK non sono presenti nell'elenco, devi abilitarli. Per maggiori dettagli, vedi Per abilitare una o più API o SDK.

   

4. Seleziona Salva.

   Dopo questo passaggio, la restrizione diventa parte della definizione della chiave API. Assicurati di fornire i dettagli appropriati e seleziona Salva per salvare Restrizioni relative alle chiavi API. Per ulteriori informazioni, consulta Ottieni una chiave API nella documentazione per l'API o l'SDK specifici che ti interessa.

Per le limitazioni consigliate per le API, consulta Restrizioni consigliate per le API.

Controlla l'utilizzo della chiave API

Se stai limitando le chiavi API dopo che sono state create o se vuoi quali API vengono utilizzate da una chiave per limitarle, devi controllare l'utilizzo della chiave API. Questi passaggi mostrano in quali servizi e metodi API quando è in uso una chiave API. Se noti utilizzi oltre ai servizi Google Maps Platform, indaga per stabilire se è necessario aggiungere maggiori limitazioni per evitare l'uso indesiderato. Per aiutarti, puoi utilizzare l'Explorer metriche della console Cloud di Google Maps Platform Stabilisci quali limitazioni relative ad API e applicazioni applicare alla tua chiave API:

• Determinare le API che utilizzano la chiave API

• Scegli il tipo corretto di limitazione delle applicazioni utilizzando Esplora metriche

Determinare le API che utilizzano la chiave API

I seguenti report sulle metriche consentono di determinare quali API utilizzano le tue chiavi API. Utilizza questi report per:

• Scopri come vengono utilizzate le tue chiavi API
• Individua l'utilizzo imprevisto
• Contribuisci a verificare se una chiave inutilizzata può essere eliminata in sicurezza. Per informazioni sull'eliminazione una chiave API. consulta l'articolo Eliminare le chiavi API inutilizzate.

Quando applichi restrizioni relative alle API, utilizza questi report per creare un elenco di API da autorizzare o convalidare la limitazione relativa alle chiavi API generate automaticamente personalizzati. Per ulteriori informazioni sulle limitazioni consigliate, consulta Applica le limitazioni consigliate. Per ulteriori informazioni sull'utilizzo Esplora metriche, consulta Crea grafici con Esplora metriche.

1. Vai alla sezione Esplora metriche della console Google Cloud.

2. Accedi e seleziona il progetto per le chiavi API che vuoi controllare.

3. Vai alla pagina Esplora metriche per il tuo tipo di API:

   • Per le chiavi API che utilizzano qualsiasi API ad eccezione dell'API Maps Embed: vai a Pagina Esplora metriche.

   • Per le chiavi API che utilizzano l'API Maps Embed: vai a Esplora metriche.

4. Ispeziona ogni chiave API:

   1. Seleziona AGGIUNGI FILTRO.

   2. Seleziona l'etichetta credential_id.

   3. Seleziona il valore corrispondente alla chiave che vuoi controllare.

   4. Prendi nota delle API per le quali viene utilizzata questa chiave API e conferma che sia utilizzata previsto.

   5. Al termine, seleziona Rimuovi filtro. delete alla fine del filtro attivo riga per eliminare il filtro aggiuntivo.

5. Ripeti l'operazione per le chiavi rimanenti.

6. Limita le tue chiavi API solo alle API in uso.

7. Se rilevi un uso non autorizzato, consulta Gestire l'uso non autorizzato di una chiave API.

Scegli il tipo corretto di limitazione delle applicazioni utilizzando Esplora metriche

Dopo aver verificato e eseguito le azioni necessarie per garantire che la chiave API sia utilizzato solo per i servizi Google Maps Platform che usa, anche assicurati che le restrizioni dell'applicazione della chiave API siano corrette.

Se per la tua chiave API sono previste limitazioni consigliate per le chiavi API, applicale. Per maggiori informazioni informazioni, consulta Applicare le limitazioni consigliate per le chiavi API.

Se per la chiave API non sono disponibili suggerimenti sulle restrizioni, determina il tipo di limitazione dell'applicazione da applicare, in base alla metrica platform_type segnalata che utilizza Esplora metriche:

1. Vai alla sezione Esplora metriche della console Google Cloud.

2. Accedi e seleziona il progetto per le API che vuoi controllare.

3. Vai a questa pagina Esplora metriche: Esplora metriche.

4. Ispeziona ogni chiave API:

   1. Seleziona AGGIUNGI FILTRO.

   2. Seleziona l'etichetta credential_id.

   3. Seleziona il valore corrispondente alla chiave che vuoi controllare.

   4. Al termine, seleziona Rimuovi filtro. delete alla fine del filtro attivo riga per eliminare il filtro aggiuntivo.

5. Ripeti l'operazione per le chiavi rimanenti.

6. Una volta che hai il tipo di piattaforma per le tue chiavi API, applica l'applicazione limitazione per quel platform_type:

   PLATFORM_TYPE_JS

   Applica le limitazioni del sito web alla chiave.

   PLATFORM_TYPE_ANDROID

   Applica le limitazioni delle app per Android al token.

   PLATFORM_TYPE_IOS

   Applica le limitazioni delle applicazioni per iOS alla chiave.

   PLATFORM_TYPE_WEBSERVICE

   Potresti dover fare affidamento sulle limitazioni dell'indirizzo IP sulla chiave per limitarlo. Per ulteriori opzioni per l'API Maps Static e l'API Street View Static, consulta Proteggere le app utilizzando API web statiche. Per ulteriori istruzioni sull'API Maps Embed, consulta Siti web con l'API Maps Embed.

   La mia chiave API utilizza più tipi di piattaforma

   Il tuo traffico non può essere protetto correttamente con una sola chiave API. Ti servono per eseguire la migrazione a più chiavi API. Per ulteriori informazioni, vedi Esegui la migrazione a più chiavi API.

Usa chiavi API separate per ogni app

Questa prassi limita l'ambito di ogni chiave. Se una chiave API è compromessa, eliminare o rigenerare la chiave interessata senza dover aggiornare le altre chiavi API. Puoi creare fino a 300 chiavi API per progetto. Per ulteriori informazioni, vedi Limiti delle chiavi API.

Per motivi di sicurezza è ideale per la sicurezza una chiave API per applicazione, ma puoi utilizzare chiavi limitate su più app, purché utilizzino lo stesso tipo di limitazione dell'applicazione.

Applica le limitazioni consigliate per le chiavi API

Per alcuni proprietari ed editor del progetto, la console Google Cloud suggerisce limitazioni specifiche delle chiavi API alle chiavi API senza restrizioni in base ai Utilizzo e attività di Google Maps Platform.

Se disponibili, i consigli vengono visualizzati come opzioni precompilate nella Credenziali di Google Maps Platform .

Motivi per cui potresti non visualizzare un consiglio o un consiglio incompleto

• Stai (anche) utilizzando la chiave API su un prodotto diverso da Google Maps Platform i servizi di machine learning. Se noti l'utilizzo su altri servizi, non applicare il consigliato senza prima fare quanto segue:

  1. Verifica che l'utilizzo dell'API visualizzato nelle metriche della console Google Cloud esploratore è legittimo.

  2. Aggiungi manualmente i servizi mancanti all'elenco delle API da autorizzare.

  3. Aggiungi manualmente eventuali limitazioni delle applicazioni mancanti per i servizi aggiunti all'elenco delle API. Se l'altro hai aggiunto richiede un tipo diverso di sulle limitazioni delle applicazioni, consulta Esegui la migrazione a più chiavi API.

• La chiave API non viene utilizzata negli SDK o nelle API lato client.

• Utilizzi la chiave API in un'app o un sito web a basso volume di cui non è stato registrato l'utilizzo nel corso degli ultimi 60 giorni.

• Hai creato una nuova chiave molto di recente o di recente hai eseguito il deployment una chiave esistente in una nuova app. In questo caso, attendi qualche giorno in più per consentire l'aggiornamento dei consigli.

• Stai utilizzando la chiave API in più applicazioni che richiederebbero tipi di limitazioni dell'applicazione in conflitto oppure vengono utilizzati lo stesso Chiave API in troppe app o siti web diversi. In entrambi i casi, come migliore dovresti eseguire la migrazione a più chiavi. Per ulteriori dettagli, vedi Esegui la migrazione a più chiavi API.

Motivi per cui potresti visualizzare consigli che non sono visibili nei grafici

• La tua app o il tuo sito web ha inviato solo burst di traffico molto brevi. In questo caso, passa da una visualizzazione GRAFICO per visualizzare una TABELLA o ENTRAMBI, in quanto l'utilizzo sono ancora visibili nella legenda. Per ulteriori informazioni, vedi Attivazione/disattivazione delle legende complete del grafico.

• Il tuo traffico proviene dall'API Maps Embed. Per istruzioni, vedi Determina le API che utilizzano la tua chiave API.

• Il traffico proveniente dall'app o dal sito web non rientra nell'intervallo di date disponibile in Esplora metriche della console Google Cloud.

Per applicare le limitazioni consigliate

1. Apri la console Google Cloud Credenziali di Google Maps Platform .

2. Se disponibile, seleziona Applica limitazioni consigliate.

   

   Nota: se non vedi limitazioni consigliate, consulta Imposta le limitazioni delle API per una chiave API in modo da impostare le opzioni appropriate limitazioni.

3. Seleziona Controlla l'utilizzo dell'API per verificare a quali servizi viene usata la chiave API utilizzata. Se vedi altri servizi oltre a Google Maps Platform, metti in pausa per rivedere manualmente i passaggi dei consigli precedenti. Consulta la sezione per la risoluzione dei problemi passaggi all'inizio della sezione Applica le limitazioni consigliate per le chiavi API.

4. Verifica che le limitazioni precompilate corrispondano ai siti web e alle app in cui prevedi di utilizzare la chiave API.

   Best practice: documenta e rimuovi eventuali restrizioni relative ad applicazioni o API che non sono affiliati ai tuoi servizi. Se qualcosa non funziona a causa di una dipendenza imprevista, puoi aggiungere di nuovo le app o le API richieste.

   • Se sei consapevole che un'app, un sito web o un'API non sono presenti nel tuo consigliato, aggiungilo manualmente o attendi un paio di giorni per consentire consigliato di aggiornare.

   • Se hai bisogno di ulteriore assistenza con il consiglio che hai suggerito, contatta l'assistenza.

5. Seleziona Applica.

Cosa fare se la domanda viene rifiutata dopo l'applicazione di un consiglio

Se noti che un'app o un sito web vengono rifiutati dopo l'applicazione di una limitazione: cerca la limitazione dell'applicazione da aggiungere nell'errore di risposta dell'API per creare un nuovo messaggio email.

Per gli SDK lato client, consulta quanto segue:

• App dell'API Maps JavaScript:vedi la console di debug del browser
• App per Android: utilizza Android Debug Bridge (adb) o Logcat
• App per iOS: consulta Visualizzazione dei messaggi di log

Per controllare le restrizioni richieste relative alle API, consulta Determina le API che utilizzano la tua chiave API.

Se non riesci a determinare quali limitazioni applicare:

1. Documenta le limitazioni attuali per riferimento futuro.
2. Rimuovili temporaneamente mentre esamini il problema. Puoi controllare utilizzo nel tempo seguendo la procedura descritta in Controllare l'utilizzo della chiave API.
3. Se necessario, contatta l'assistenza.

Elimina le chiavi API inutilizzate

Prima di eliminare una chiave API, assicurati che non sia utilizzata in produzione. Se se non c'è traffico riuscito, è probabile che la chiave venga eliminata in sicurezza. Per maggiori informazioni informazioni, consulta Controllare l'utilizzo della chiave API.

Per eliminare una chiave API:

1. Apri la console Google Cloud Credenziali di Google Maps Platform .

2. Seleziona la chiave API che vuoi eliminare.

3. Seleziona il pulsante Elimina nella parte superiore della pagina.

4. Nella pagina Elimina credenziale, seleziona Elimina.

   L'eliminazione di una chiave API richiede alcuni minuti per la propagazione. Dopo il giorno viene completata la propagazione, qualsiasi traffico che utilizza la chiave API eliminata viene rifiutato.

Fai attenzione quando rigeneri le chiavi API

La rigenerazione di una chiave API ne crea una nuova con tutte le chiavi limitazioni. Questo processo avvia anche un timer di 24 ore, dopodiché la vecchia API viene eliminata.

Durante questo periodo di tempo, vengono accettati sia la vecchia che la nuova chiave, fornendoti un di eseguire la migrazione delle tue app per usare la nuova chiave. Tuttavia, una volta trascorso questo periodo una volta trascorso il tempo, le app che utilizzano ancora la chiave API precedente smetteranno di funzionare.

Prima di rigenerare una chiave API:

• Innanzitutto, prova a limitare le chiavi API come descritto in Limita le tue chiavi API.

• Se non è possibile limitare la chiave API a causa di un'applicazione in conflitto tipi di restrizioni, esegui la migrazione a più chiavi nuove (limitate) come descritto in Esegui la migrazione a più chiavi API. Migrazione in corso consente di controllare la migrazione e la tempistica dell'implementazione alle nuove chiavi API.

Se i suggerimenti precedenti non sono possibili, devi rigenerare i tuoi della chiave API per impedirne l'uso non autorizzato, segui questa procedura:

1. Apri la console Google Cloud Credenziali di Google Maps Platform .

2. Apri la chiave API che vuoi rigenerare.

3. Nella parte superiore della pagina, seleziona Rigenera chiave.

4. Seleziona Sostituisci chiave.

Nota: se necessario, puoi eseguire il rollback di qualsiasi chiave che è stata rigenerata per la versione precedente. Non sono previsti limiti di tempo per il rollback.

Per eseguire il rollback di una chiave rigenerata

1. Apri la console Google Cloud Credenziali di Google Maps Platform .

2. Apri la chiave API di cui vuoi eseguire il rollback.

3. Seleziona Ripristina chiave precedente.

4. Nella finestra di dialogo Ripristina, seleziona Ripristina chiave.

Dopo il rollback, la prima "nuova" chiave diventa la precedente ed è stato impostato un nuovo timer di disattivazione di 24 ore. È possibile tra queste due coppie chiave-valore finché non rigenera di nuovo la chiave.

Se rigeneri di nuovo la chiave, questa sovrascriverà il vecchio valore della chiave inattiva.

Esegui la migrazione a più chiavi API

Per eseguire la migrazione dall'utilizzo di una chiave API per più app a un'unica chiave API univoca per ogni app:

1. Identificare le app che richiedono nuove chiavi:

   • Le app web sono le più facili da aggiornare, poiché sei tu a controllare tutto il codice. Prevedi di aggiornare tutte le tue app basate sul web chiave.
   • Le app mobile sono molto più difficili, poiché i tuoi clienti devono aggiornare le loro app prima di poter utilizzare le nuove chiavi.

2. Crea e limita le nuove chiavi: aggiungi entrambe le restrizioni dell'applicazione. e almeno una restrizione API. Per ulteriori informazioni, vedi Best practice consigliate.

3. Aggiunta di nuovi token alle app. Per le app mobile, questa procedura potrebbe potrebbero volerci mesi prima che tutti i tuoi utenti eseguano l'aggiornamento all'ultima versione dell'app con il nuovo chiave API.

Proteggi le app utilizzando le API web statiche

API web statiche, come l'API Maps Static e L'API Street View Static è simile alle chiamate API dei servizi web.

Chiamerai entrambi utilizzando una semplice API REST HTTPS e in genere generi l'API di richiesta URL sul server. Tuttavia, invece di restituire una risposta in formato JSON, i dati Le API web generano un'immagine da incorporare nel codice HTML generato. Altro importante, di solito è il client dell'utente finale, non il server, che chiama il servizio Google Maps Platform.

Utilizzare una firma digitale

Come best practice, usa sempre le firme digitali, oltre a un chiave API. Controlla anche il numero di richieste non firmate che vuoi consentire al giorno. modificare le quote per le richieste non firmate di conseguenza.

Per ulteriori dettagli sulle firme digitali, vedi Guida alla firma digitale.

Proteggi il tuo secret di firma

Per proteggere le API web statiche, non incorporare i secret di firma API direttamente o nella struttura del codice sorgente oppure di esporli in applicazioni lato client. Segui queste best practice per proteggere i tuoi segreti di firma:

• Firma le richieste lato server, non sul client. Se esegui la firma lato client in JavaScript, la esponi a chiunque visiti il tuo sito. Di conseguenza, per le immagini generate dinamicamente, genera sempre le mappe firmate URL di richiesta API statici e API Street View Static lato server durante la pubblicazione la pagina web. Per i contenuti web statici, puoi utilizzare l'opzione Firma un URL ora. widget nella pagina Credenziali di Google Maps Platform della console Cloud.

• Archivia i secret di firma al di fuori del codice sorgente e della struttura del codice sorgente dell'applicazione. Se inserisci i tuoi segreti di firma o qualsiasi altra informazione privata variabili di ambiente o di includere file archiviati separatamente condividere il codice, i secret di firma non saranno inclusi nei file condivisi. Se se archivi segreti di firma o qualsiasi altra informazione privata nei file, mantieni i file all'esterno della struttura di origine dell'applicazione per mantenere i secret di firma dal sistema di controllo del codice sorgente. Questa precauzione è particolarmente è importante se utilizzi un sistema di gestione del codice sorgente pubblico, come GitHub.

Proteggi la tua chiave API nelle app che utilizzano servizi web

Archivia le chiavi API al di fuori del codice sorgente o della struttura del codice sorgente. Se inserisci le tue chiavi API o qualsiasi altra chiave incluse informazioni nelle variabili di ambiente o di file separatamente e poi condividi il codice, le chiavi API non sono incluse nel file condivisi. Ciò è particolarmente importante se utilizzi un codice sorgente pubblico di un sistema di gestione dei dati, come GitHub.

Proteggi la chiave API e il secret di firma nelle app mobile utilizzando i servizi web o le API web statiche

Per proteggere le app mobile, utilizza un archivio chiavi o un server proxy sicuro:

• Archivia la chiave API o il secret di firma in un archivio chiavi sicuro. Questo passaggio ti consente di è più difficile eseguire lo scraping di chiavi API e altri dati privati direttamente un'applicazione.

• Utilizza un server proxy sicuro. Il server proxy fornisce una solida fonte per interagendo con l'API Google Maps Platform appropriata. Per maggiori informazioni informazioni sull'uso di un server proxy, consulta Vivere in maniera sicura: uso di server proxy con le librerie client dell'API di dati di Google.

  • Crea le tue richieste Google Maps Platform sul server proxy. Non consentire ai client di inoltrare chiamate API arbitrarie tramite il proxy.

  • Elabora le risposte di Google Maps Platform sul tuo server proxy. Escludi i dati non necessari al client.

Gestire l'uso non autorizzato di una chiave API

Se rilevi un utilizzo non autorizzato della chiave API, procedi nel seguente modo per per risolvere il problema:

1. Limitare le chiavi: se hai usato la stessa chiave in più app, eseguire la migrazione a più chiavi API e usare chiavi API separate per ogni app. Per ulteriori dettagli, consulta:

   • Limitare le chiavi API
   • Eseguire la migrazione a più chiavi API
   • Usare chiavi API separate per ogni app

2. Rigenera le chiavi solo se non puoi limitarle. Leggi sezione Fai attenzione durante la rigenerazione delle chiavi API prima di procedere.

3. Se continui a riscontrare problemi o hai bisogno di assistenza, contatta l'assistenza.

Restrizioni consigliate per applicazioni e API

Le seguenti sezioni suggeriscono le restrizioni appropriate per applicazioni e API per ogni API, SDK o servizio di Google Maps Platform.

Restrizioni API consigliate

Le seguenti linee guida per le limitazioni delle API si applicano all'intero Google Maps Platform:

• Limita la tua chiave API solo alle API per cui la utilizzi, con le le seguenti eccezioni:

  • Se la tua app utilizza Places SDK per Android o SDK Places per iOS, autorizza l'API Places.

  • Se la tua app utilizza l'API Maps JavaScript, sempre autorizzarlo sulla chiave.

  • Se usi anche una delle seguenti API Maps JavaScript devi inoltre autorizzare le seguenti API:

  Servizio	Restrizione delle API
  Servizio Directions, API Maps JavaScript	API Directions
  Servizio Distance Matrix, API Maps JavaScript	API Distance Matrix
  Servizio Elevation, API Maps JavaScript	API Elevation
  Servizio Geocoding, API Maps JavaScript	API Geocoding
  API Places Library, Maps JavaScript	API Places

Ecco alcuni esempi:

• Utilizzi Maps SDK for Android e SDK Places per Android, quindi includi il Maps SDK for Android e API Places come Restrizioni delle API.

• Il tuo sito web utilizza l'API Maps JavaScript servizi di elevazione e l'API Maps Static, quindi aggiungi restrizioni delle API per tutte le le seguenti API:

  • API Maps JavaScript
  • API Elevation
  • API Maps Static

Limitazione consigliata per le applicazioni

Siti web con API Maps JavaScript o API Static Web

Per i siti web che utilizzano i servizi Maps JavaScript o le API Static Web, utilizza il Websites limitazione dell'applicazione.

Da utilizzare per i siti web che usano i seguenti servizi e API JavaScript:

Servizio indicazioni stradali Servizio di matrice delle distanze Servizio di elevazione Servizio di geocodifica

API Maps JavaScript1 Libreria di Places API Maps Static2 API Street View Static2

¹ Per le app mobile, considera l'opportunità utilizzando l'architettura nativa SDK Maps per Android e Maps SDK for iOS.

² Vedi anche Proteggere le app mobile utilizzando il servizio web o le API web statiche.

Siti web con l'API Maps Embed

Anche se l'utilizzo dell'API Maps Embed è senza costi, devi comunque Limita qualsiasi chiave API utilizzata per prevenire comportamenti illeciti su altri servizi.

Best practice: crea una chiave API separata per l'API Maps Embed utilizzare e limitare questa chiave solo all'API Maps Embed. Questo di sicurezza sufficientemente sicura la chiave, impedendone l'utilizzo non autorizzato su da un altro servizio Google.

Se non riesci a separare l'utilizzo dell'API Maps Embed con un chiave API separata, proteggi la chiave con Websites limitazione dell'applicazione.

App e server che utilizzano servizi web

Per le app e i server che usano servizi web, usa l'IP addresses limitazione dell'applicazione.

Da utilizzare per app e server che utilizzano queste API:

API Address Validation API Aerial View API Air Quality API Directions API Distance Matrix API Elevation API Geocoding

API Geolocation API Map Tiles API Places 3 API Roads API Routes API Pollen API Solar API Time Zone

³ Per le app mobile, valuta la possibilità di utilizzare il nativo SDK Places per Android e l'SDK Places per iOS.

App Android

Per le app su Android, utilizza la limitazione delle applicazioni Android apps. Da utilizzare per app e server che usano i seguenti SDK:

• SDK Maps per Android
• SDK Places per Android

Inoltre, puoi impedire il controllo accidentale delle chiavi API nel controllo della versione utilizzando lo strumento Secrets Gradle Plug-in per inserire i secret da un file locale anziché archiviarli nel file manifest Android.

App per iOS

Per le app su iOS, utilizza la limitazione delle applicazioni iOS apps. Da utilizzare per app e server che usano i seguenti SDK:

• SDK Maps per iOS
• SDK Places per iOS

Informazioni correlate

• Ottimizza l'utilizzo di Google Maps Platform con le quote (video)
• Come generare e limitare le chiavi API per Google Maps Platform (video)
• Limitazione delle chiavi API
• Protezione delle chiavi API con le API di mappe statiche e Street View
• 15 best practice su Google Maps Platform