Questa pagina è stata tradotta dall'API Cloud Translation.

Linee guida per la sicurezza di Google Maps Platform
Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Le app e i progetti che utilizzano le API e gli SDK di Google Maps Platform devono utilizzare le chiavi API o, se supportato, OAuth 2.0 per autenticarsi. Limita le chiavi API per impedire l'utilizzo non autorizzato. Sei responsabile a livello finanziario per gli addebiti causati da abusi delle chiavi API senza restrizioni.

Queste best practice mostrano come limitarli.

Oltre ad applicare le limitazioni delle API e delle applicazioni, segui le pratiche di sicurezza che si applicano a prodotti Google Maps Platform specifici. Ad esempio, consulta l'API Maps JavaScript di seguito nella sezione Limitazioni consigliate per applicazioni e API.

Se le tue chiavi API sono già in uso, consulta i consigli riportati di seguito nella sezione Se stai limitando o rigenerando una chiave API in uso.

Per maggiori dettagli sulle firme digitali, consulta la Guida alle firme digitali.

Best practice consigliate

Per una maggiore sicurezza ed evitare di ricevere fatture per un utilizzo non autorizzato, segui queste best practice per la sicurezza delle API per tutte le API, gli SDK o i servizi Google Maps Platform:

Se stai limitando o rigenerando una chiave API in uso

Prima di modificare la chiave API, controlla l'utilizzo della chiave API. Questo passaggio è particolarmente importante se aggiungi limitazioni dopo che la chiave è in uso.
Dopo aver modificato la chiave, aggiorna tutte le app con le nuove chiavi API, se necessario.
Se non sono presenti abusi attivi della tua chiave API, puoi eseguire la migrazione delle tue app a più nuove chiavi API in base alle tue tempistiche, lasciando invariata la chiave API originale finché non visualizzi un solo tipo di traffico, a cui puoi poi limitare le chiavi API con una limitazione per le applicazioni. Per ulteriori istruzioni, consulta Eseguire la migrazione a più chiavi API.

Monitora l'utilizzo nel tempo e scopri quando API, tipi di piattaforme e domini specifici sono stati migrati dalla vecchia chiave API prima di scegliere di limitare o eliminare la vecchia chiave. Per ulteriori informazioni, consulta Report e monitoraggio e Metriche.
Se la tua chiave API è stata compromessa, devi agire più rapidamente per metterla al sicuro e interrompere l'abuso. Nelle app per Android e iOS, le chiavi non vengono sostituite finché i clienti non aggiornano le app. L'aggiornamento o la sostituzione delle chiavi nelle app JavaScript o di servizi web è molto più semplice, ma può comunque richiedere una pianificazione attenta e un lavoro rapido.

Per ulteriori informazioni, vedi Gestire l'uso non autorizzato di una chiave API.

Limita le chiavi API

La best practice è limitare sempre le chiavi API con una limitazione dell'applicazione e una o più restrizioni delle API. Per le limitazioni suggerite per API, SDK o servizio JavaScript, consulta Limitazioni consigliate per applicazioni e API di seguito.

Limitazione delle applicazioni Puoi limitare l'utilizzo di una chiave API a piattaforme specifiche: applicazioni Android o iOS oppure siti web specifici per applicazioni lato client oppure indirizzi IP o sottoreti CIDR specifici per app lato server che emettono chiamate all'API REST del servizio web.

Puoi limitare una chiave aggiungendo una o più limitazioni delle applicazioni dei tipi che vuoi autorizzare, dopodiché sono consentite solo le richieste provenienti da queste origini.

Nota: se applichi una restrizione delle applicazioni a una chiave API, non puoi utilizzarla su altre piattaforme. Ad esempio, se limiti la chiave API solo alle app per Android, non puoi utilizzarla con iOS, servizi web o API JavaScript.
Restrizioni API Puoi limitare le API, gli SDK o i servizi di Google Maps Platform su cui può essere utilizzata la tua chiave API. Le restrizioni delle API consentono solo richieste alle API e agli SDK specificati. Per una determinata chiave API, puoi specificare tutte le restrizioni API necessarie. L'elenco delle API disponibili include tutte le API abilitate in un progetto.

Importante: assicurati che le API o gli SDK a cui stai limitando la chiave API supportino il tipo di limitazioni delle applicazioni impostate. Ad esempio, se configurerai la chiave con una limitazione per iOS, assicurati che l'API con cui intendi utilizzare la chiave sia disponibile su iOS.

Impostare una limitazione delle applicazioni per una chiave API

Apri la pagina Credenziali della piattaforma Google Maps della console Google Cloud.
Seleziona la chiave API che vuoi limitare.
Nella pagina Modifica chiave API, in Restrizioni chiave, seleziona Imposta una restrizione delle applicazioni.

Seleziona uno dei tipi di limitazioni e fornisci le informazioni richieste in base all'elenco delle limitazioni.

Tipo di restrizione	Descrizione
Siti web	Specifica uno o più siti web di referrer. Gli schemi URI referrer universalmente supportati sono `https` e `http`. Fornisci sempre l'URI completo del referrer, inclusi lo schema del protocollo, il nome host e la porta facoltativa (ad es. `https://google.com`). Puoi utilizzare i caratteri jolly per autorizzare tutti i sottodomini. Ad esempio, `https://.google.com` accetta tutti i siti che terminano con `.google.com`. Tieni presente che se specifichi www.domain.com, questo agisce come carattere jolly www.domain.com/ e autorizza qualsiasi percorso secondario per quell'hostname. Fai attenzione quando autorizzi i referrer con percorso completo, ad esempio `https://google.com/some/path`, poiché per impostazione predefinita la maggior parte dei browser attuali rimuove il percorso dalle richieste cross-origin.
Indirizzi IP	Specifica uno o più indirizzi IPv4 o IPv6 o subnet utilizzando la notazione CIDR. Gli indirizzi IP devono corrispondere all'indirizzo di origine rilevato dai server di Google Maps Platform. Se utilizzi la Network Address Translation (NAT), questo indirizzo corrisponde in genere all'indirizzo IP pubblico della tua macchina.
App Android	Aggiungi il nome del pacchetto Android (dal file `AndroidManifest.xml`) e l'impronta del certificato di firma SHA-1 di ogni applicazione Android che vuoi autorizzare. Se utilizzi la firma dell'app di Google Play, per recuperare la fingerprint del certificato di firma, consulta Lavorare con i fornitori di API. Se gestisci la tua chiave di firma, consulta Firma autonomo dell'applicazione o fai riferimento alle istruzioni per il tuo ambiente di compilazione.
App per iOS	Aggiungi l'identificatore del pacchetto di ogni applicazione per iOS che vuoi autorizzare.

Per consigli su una limitazione delle applicazioni, vedi Limitazione delle applicazioni consigliata.

Seleziona Salva.

Impostare le restrizioni delle API per una chiave API

Apri la pagina Credenziali della piattaforma Google Maps della console Google Cloud.
Seleziona la chiave API che vuoi limitare.
Nella pagina Modifica chiave API, in Restrizioni API:
- Seleziona Limita chiave.
- Apri Seleziona API e seleziona le API o gli SDK a cui vuoi che la tua applicazione acceda utilizzando la chiave API.
Se un'API o un SDK non è presente nell'elenco, devi abilitarlo. Per maggiori dettagli, consulta la sezione Attivare una o più API o SDK.
Seleziona Salva.

La limitazione diventa parte della definizione della chiave API dopo questo passaggio. Assicurati di fornire i dettagli appropriati e seleziona Salva per salvare le restrizioni delle chiavi API. Per ulteriori informazioni, consulta la guida Ottieni una chiave API nella documentazione dell'API o dell'SDK specifico di tuo interesse.

Per le restrizioni delle API consigliate, consulta la sezione Restrizioni delle API consigliate.

Controllare l'utilizzo della chiave API

Se stai limitando le chiavi API dopo la loro creazione o se vuoi vedere quali API vengono utilizzate da una chiave per poterle limitare, devi controllare l'utilizzo delle chiavi API. Questi passaggi mostrano in quali servizi e metodi API viene utilizzata una chiave API. Se noti un utilizzo oltre i servizi di Google Maps Platform, indaga per determinare se devi aggiungere altre limitazioni per evitare un utilizzo indesiderato. Puoi utilizzare lo strumento di esplorazione delle metriche della console Cloud di Google Maps Platform per determinare quali restrizioni delle API e delle applicazioni applicare alla tua chiave API:

Determinare le API che utilizzano la tua chiave API
Scegliere il tipo corretto di limitazione delle applicazioni utilizzando lo Strumento di esplorazione metriche

Determina le API che utilizzano la tua chiave API

I seguenti report sulle metriche ti consentono di determinare quali API utilizzano le tue chiavi API. Utilizza questi report per:

Scopri come vengono utilizzate le tue chiavi API
Individuare un utilizzo imprevisto
Aiuta a verificare se è possibile eliminare una chiave inutilizzata. Per informazioni sull'eliminazione di una chiave API, consulta Eliminare le chiavi API inutilizzate.

Quando applichi le restrizioni delle API, utilizza questi report per creare un elenco di API da autorizzare o per convalidare i consigli per le restrizioni delle chiavi API generate automaticamente. Per ulteriori informazioni sulle restrizioni consigliate, vedi Applicare le restrizioni consigliate. Per ulteriori informazioni sull'utilizzo di Esplora metriche, consulta Creare grafici con Esplora metriche.

Vai a Esplora metriche nella console Google Cloud
Accedi e seleziona il progetto per le chiavi API che vuoi controllare.
Vai alla pagina di Metrics Explorer per il tuo tipo di API:
- Per le chiavi API che utilizzano qualsiasi API tranne l'API Maps Embed: vai alla pagina Explorer metriche.
- Per le chiavi API che utilizzano l'API Maps Embed: vai a Metrici Explorer.
Controlla ogni chiave API:
1. Seleziona AGGIUNGI FILTRO.
2. Seleziona l'etichetta credential_id.
3. Seleziona il valore corrispondente alla chiave che vuoi ispezionare.
4. Prendi nota delle API per cui viene utilizzata questa chiave API e conferma che l'utilizzo sia previsto.
5. Al termine, seleziona Rimuovi filtro alla fine della riga del filtro attivo per eliminare il filtro aggiuntivo.
Ripeti l'operazione per le eventuali chiavi rimanenti.
Limita le chiavi API solo alle API in uso.
Se rilevi un utilizzo non autorizzato, consulta Gestire l'utilizzo non autorizzato di una chiave API.

Scegliere il tipo corretto di limitazione dell'applicazione utilizzando Metrics Explorer

Dopo aver verificato e intrapreso le azioni necessarie per assicurarti che la chiave API venga utilizzata solo per i servizi Google Maps Platform in uso, assicurati inoltre che la chiave API abbia le limitazioni di applicazione corrette.

Se la tua chiave API ha restrizioni consigliate, applicale. Per ulteriori informazioni, consulta Applicare le restrizioni consigliate per le chiavi API.

Se la tua chiave API non ha suggerimenti sulle restrizioni, determina il tipo di limitazione dell'applicazione da applicare in base al valore platform_type registrato utilizzando lo strumento di esplorazione delle metriche:

Vai a Esplora metriche nella console Google Cloud
Accedi e seleziona il progetto per le API che vuoi controllare.
Vai a questa pagina di Esplora metriche: Esplora metriche.
Controlla ogni chiave API:
1. Seleziona AGGIUNGI FILTRO.
2. Seleziona l'etichetta credential_id.
3. Seleziona il valore corrispondente alla chiave che vuoi ispezionare.
4. Al termine, seleziona Rimuovi filtro alla fine della riga del filtro attivo per eliminare il filtro aggiuntivo.
Ripeti l'operazione per le eventuali chiavi rimanenti.
Una volta ottenuto il tipo di piattaforma per le tue chiavi API, applica la limitazione dell'applicazione per la piattaforma platform_type:

PLATFORM_TYPE_JS : applica le limitazioni relative ai siti web alla chiave.

PLATFORM_TYPE_ANDROID : applica le limitazioni delle applicazioni Android alla chiave.

PLATFORM_TYPE_IOS : applica le limitazioni delle applicazioni iOS alla chiave.

PLATFORM_TYPE_WEBSERVICE : potrebbe essere necessario applicare limitazioni degli indirizzi IP alla chiave per limitarla correttamente. Per altre opzioni per l'API Maps Static e l'API Street View Static, consulta Proteggere le app che utilizzano API web statiche. Per altre istruzioni sull'API Maps Embed, consulta Siti web con l'API Maps Embed.

La mia chiave API utilizza più tipi di piattaforme : il tuo traffico non può essere protetto correttamente con una sola chiave API. Devi eseguire la migrazione a più chiavi API. Per ulteriori informazioni, vedi Eseguire la migrazione a più chiavi API.

Utilizza chiavi API separate per ogni app

Questa pratica limita l'ambito di ogni chiave. Se una chiave API viene compromessa, puoi eliminare o ruotare la chiave interessata senza dover aggiornare le altre chiavi API. Puoi creare fino a 300 chiavi API per progetto. Per ulteriori informazioni, consulta Limiti per le chiavi API.

Sebbene una chiave API per applicazione sia l'ideale per motivi di sicurezza, puoi utilizzare chiavi con limitazioni su più app, a condizione che utilizzino lo stesso tipo di limitazione delle applicazioni.

Applica le limitazioni consigliate per le chiavi API

Per alcuni proprietari e editor di progetti, la console Google Cloud suggerisce limitazioni specifiche alle chiavi API senza restrizioni in base all'utilizzo e all'attività di Google Maps Platform.

Se disponibili, i consigli vengono visualizzati come opzioni precompilate nella pagina ** Credenziali Google Maps Platform**.

Motivi per cui potresti non vedere un consiglio o un consiglio incompleto

Utilizzi (anche) la chiave API su servizi diversi da quelli di Google Maps Platform. Se noti un utilizzo su altri servizi, non applicare il suggerimento senza prima eseguire quanto segue:
1. Verifica che l'utilizzo dell'API visualizzato in Metrics Explorer della console Google Cloud sia legittimo.
2. Aggiungi manualmente i servizi mancanti all'elenco delle API da autorizzare.
3. Aggiungi manualmente eventuali restrizioni delle applicazioni mancanti per i servizi aggiunti all'elenco di API. Se l'altra chiave aggiunta richiede un tipo diverso di limitazioni per le applicazioni, consulta Eseguire la migrazione a più chiavi API.
La chiave API non viene utilizzata in API o SDK lato client.
Utilizzi la chiave API in un'app o un sito web a basso volume che non è stato utilizzato negli ultimi 60 giorni.
Hai creato una nuova chiave di recente o hai di recente implementato una chiave esistente in una nuova app. In questo caso, attendi qualche giorno in più per consentire l'aggiornamento dei consigli.
Utilizzi la chiave API in più applicazioni che richiedono tipi di limitazioni delle applicazioni in conflitto o utilizzi la stessa chiave API in troppe app o su troppi siti web diversi. In entrambi i casi, come best practice, devi eseguire la migrazione a più chiavi. Per maggiori dettagli, consulta Eseguire la migrazione a più chiavi API.

Motivi per cui potresti vedere consigli non visibili nei grafici

La tua app o il tuo sito web ha inviato solo picchi di traffico molto brevi. In questo caso, passa da una visualizzazione GRAFICO a una TABELLA o ENTRAMBI, poiché l'utilizzo è ancora visibile nella legenda. Per ulteriori informazioni, consulta la sezione Attivare/disattivare le legende complete del grafico.
Il traffico proviene dall'API Maps Embed. Per istruzioni, consulta Determinare le API che utilizzano la tua chiave API.
Il traffico proveniente dall'app o dal sito web non rientra nell'intervallo di date disponibile nell'esploratore delle metriche della console Google Cloud.

Per applicare le limitazioni consigliate

Apri la pagina Credenziali della piattaforma Google Maps della console Google Cloud.
Se disponibile, seleziona Applica limitazioni consigliate.

Nota: se non vedi restrizioni consigliate, consulta la sezione Impostare le limitazioni dell'API per una chiave API per impostare le limitazioni appropriate.
Seleziona Controlla l'utilizzo dell'API per verificare su quali servizi viene utilizzata la chiave API. Se vedi altri servizi oltre a quelli di Google Maps Platform, metti in pausa per esaminare manualmente i passaggi del consiglio riportati sopra. Consulta la procedura di risoluzione dei problemi all'inizio della sezione Applicare le restrizioni consigliate per le chiavi API.
Verifica che le limitazioni precompilate corrispondano ai siti web e alle app dove prevedi di utilizzare la tua chiave API.

Best practice: documenta e rimuovi eventuali restrizioni relative ad applicazioni o API che non sono affiliate ai tuoi servizi. Se si verifica un problema a causa di una dipendenza imprevista, puoi aggiungere nuovamente le app o le API richieste.
- Se ritieni che un'app, un sito web o un'API manchi chiaramente nel tuo consiglio, aggiungilo manualmente o attendi un paio di giorni per consentire l'aggiornamento del consiglio.
- Se hai bisogno di ulteriore assistenza per il consiglio suggerito, contatta l'assistenza.
Seleziona Applica.

Cosa fare se la tua richiesta viene rifiutata dopo l'applicazione di un consiglio

Se noti che un'app o un sito web viene rifiutato dopo l'applicazione di una limitazione, cerca la limitazione dell'applicazione da aggiungere nel messaggio di errore della risposta dell'API.

Per gli SDK lato client, consulta di seguito:

App API Maps JavaScript: consulta la console di debug del browser
App per Android: utilizza Android Debug Bridge (adb) o Logcat
App per iOS: consulta Visualizzare i messaggi di log

Per controllare le limitazioni delle API richieste, consulta Determinare le API che utilizzano la tua chiave API.

Se non riesci a determinare quali restrizioni applicare:

Documenta le limitazioni attuali per riferimento futuro.
Rimuovili temporaneamente mentre esamini il problema. Puoi controllare il tuo utilizzo nel tempo seguendo la procedura descritta in Controllare l'utilizzo della chiave API.
Se necessario, contatta l'assistenza.

Eliminare le chiavi API inutilizzate

Prima di eliminare una chiave API, assicurati che non sia utilizzata in produzione. Se non viene registrato traffico, è probabile che la chiave possa essere eliminata in sicurezza. Per ulteriori informazioni, vedi Controllare l'utilizzo della chiave API.

Per eliminare una chiave API:

Apri la pagina Credenziali della piattaforma Google Maps della console Google Cloud.
Seleziona la chiave API che vuoi eliminare.
Seleziona il pulsante Elimina nella parte superiore della pagina.
Nella pagina Elimina credenziale, seleziona Elimina.

L'eliminazione di una chiave API richiede alcuni minuti per essere propagata. Al termine della propagazione, qualsiasi traffico che utilizza la chiave API eliminata viene rifiutato.

Fai attenzione quando ruoti le chiavi API

La rotazione di una chiave API crea una nuova chiave con tutte le limitazioni della vecchia chiave. Durante questo periodo di tempo, vengono accettate sia la vecchia che la nuova chiave, dandoti la possibilità di eseguire la migrazione delle tue app per utilizzare la nuova chiave.

Prima di ruotare una chiave API:

Innanzitutto, prova a limitare le tue chiavi API come descritto in Limitare le chiavi API.
Se non è possibile limitare la chiave API a causa di tipi di limitazioni delle applicazioni in conflitto, esegui la migrazione a più nuove chiavi (con limitazioni) come descritto in Eseguire la migrazione a più chiavi API. La migrazione consente di controllare la migrazione e le tempistiche di implementazione delle nuove chiavi API.

Se i suggerimenti precedenti non sono possibili e devi ruotare la chiave API per impedire l'uso non autorizzato, segui questi passaggi:

Apri la pagina Credenziali della piattaforma Google Maps della console Google Cloud.
Apri la chiave API che vuoi ruotare.
Nella parte superiore della pagina, seleziona Ruota chiave.
Se vuoi, modifica il nome della chiave API.
Seleziona Crea.
Aggiorna le applicazioni in modo che utilizzino la nuova chiave.

Dopo aver aggiornato le applicazioni in modo che utilizzino la nuova chiave, elimina la vecchia chiave facendo clic sul pulsante Elimina la chiave precedente nella sezione Chiave precedente della nuova pagina della chiave API.

Eseguire la migrazione a più chiavi API

Per eseguire la migrazione dall'utilizzo di una chiave API per più app a una singola chiave API univoca per ogni app, procedi nel seguente modo:

Identifica le app che richiedono nuove chiavi:
- Le app web sono le più semplici da aggiornare, poiché controlli tutto il codice. Pianifica di aggiornare le chiavi di tutte le tue app web.
- Le app mobile sono molto più difficili, poiché i clienti devono aggiornare le proprie app prima che le nuove chiavi possano essere utilizzate.
Crea e limita le nuove chiavi: aggiungi sia una restrizione delle applicazioni sia almeno una restrizione delle API. Per saperne di più, consulta le best practice consigliate.
Aggiungi le nuove chiavi alle tue app: per le app mobile, questa procedura può richiedere mesi finché tutti gli utenti non eseguiranno l'aggiornamento all'app più recente con la nuova chiave API.

Proteggere le app che utilizzano API web statiche

Le API web statiche, come l'API Maps Static e l'API Street View Static, sono simili alle chiamate API del servizio web.

Chiamate entrambe utilizzando un'API REST HTTPS e in genere generate l'URL della richiesta dell'API sul server. Tuttavia, anziché restituire una risposta JSON, le API web statiche generano un'immagine che puoi incorporare nel codice HTML generato. Ancora più importante, in genere è il client dell'utente finale, non il server, a chiamare il servizio Google Maps Platform.

Utilizzare una firma digitale

Come best practice, utilizza sempre le firme digitali oltre a una chiave API. Inoltre, controlla quante richieste non firmate vuoi consentire al giorno e modifica le quote delle richieste non firmate di conseguenza.

Per maggiori dettagli sulle firme digitali, consulta la Guida alle firme digitali.

Proteggi il segreto di firma

Per proteggere le API web statiche, non incorporare i secret di firma dell'API direttamente nel codice o nella struttura di origine né esporli nelle applicazioni lato client. Segui queste best practice per proteggere i tuoi secret di firma:

Firma le richieste lato server, non sul client. Se esegui la firma lato client in JavaScript, la esponi a chiunque visiti il tuo sito. Pertanto, per le immagini generate dinamicamente, genera sempre gli URL delle richieste firmate dell'API Maps Static e dell'API Street View Static lato server quando pubblichi la pagina web. Per i contenuti web statici, puoi utilizzare il widget Firma un URL ora nella pagina Credenziali di Google Maps Platform nella console Cloud.
Memorizza i segreti di firma al di fuori del codice sorgente e dell'albero di origine dell'applicazione. Se inserisci i secret di firma o altre informazioni private nelle variabili di ambiente o includi file archiviati separatamente e poi condividi il codice, i secret di firma non vengono inclusi nei file condivisi. Se memorizzi i secret di firma o altre informazioni private in file, tieni i file al di fuori dell'albero di origine dell'applicazione per mantenere i secret di firma al di fuori del sistema di controllo del codice sorgente. Questa precauzione è particolarmente importante se utilizzi un sistema di gestione del codice sorgente pubblico, come GitHub.

Proteggere la chiave API nelle app che utilizzano servizi web

Memorizza le chiavi API al di fuori del codice sorgente o dell'albero di origine dell'applicazione. Se inserisci le chiavi API o altre informazioni nelle variabili di ambiente o includi file archiviati separatamente e poi condividi il codice, le chiavi API non sono incluse nei file condivisi. Questo è particolarmente importante se utilizzi un sistema di gestione del codice sorgente pubblico, come GitHub.

Proteggi la chiave API e il segreto di firma nelle app mobile che utilizzano servizi web o API web statiche

Per proteggere le app mobile, utilizza un keystore o un server proxy sicuro:{:#proxy-server} Per proteggere le app mobile, utilizza un keystore o un server proxy sicuro:

Memorizza la chiave API o il secret di firma in un archivio chiavi sicuro. Questo passaggio rende più difficile lo scraping delle chiavi API e di altri dati privati direttamente dall' applicazione.
Utilizza un server proxy sicuro. Il server proxy fornisce una fonte solida per interagire con l'API Google Maps Platform appropriata. Per ulteriori informazioni sull'utilizzo di un server proxy, consulta Vivere per procura: utilizzare i server proxy con le librerie client dell'API Google Data
- Crea le richieste di Google Maps Platform sul server proxy. Non consentire ai client di inoltrare chiamate API arbitrarie utilizzando il proxy.
- Esegui il post-trattamento delle risposte di Google Maps Platform sul tuo server proxy. Filtra i dati non necessari per il cliente.
Importante: per l'accesso dei client ai server proxy, richiedi sempre l'autenticazione.

Utilizzare App Check per proteggere la chiave API

Alcuni SDK e API di Maps ti consentono di eseguire l'integrazione con Firebase App Check. App Check fornisce protezione per le chiamate dalla tua app a Google Maps Platform bloccando il traffico proveniente da origini diverse dalle app legittime. Per farlo, controlla la presenza di un token di un fornitore di attestazioni. L'integrazione delle tue app con App Check contribuisce a proteggerti dalle richieste dannose, in modo che non ti vengano addebitati costi per chiamate API non autorizzate.

Istruzioni per l'integrazione di App Check:

Gestire l'utilizzo non autorizzato di una chiave API

Se rilevi un utilizzo non autorizzato della tua chiave API, svolgi i seguenti passaggi per risolvere il problema:

Limita le chiavi: se hai utilizzato la stessa chiave in più app, migra a più chiavi API e utilizza chiavi API separate per ogni app. Per maggiori dettagli, consulta:
Se utilizzi l'SDK Places o l'API Maps JavaScript, puoi anche utilizzare App Check per proteggere la tua chiave API.
Solo sostituisci o ruota le chiavi se una delle seguenti condizioni è vera:
- L'utilizzo non autorizzato viene rilevato su chiavi che non possono essere limitate o che sono già limitate e App Check non è applicabile.
- Vuoi agire più rapidamente per proteggere la tua chiave API e interrompere l'abuso.
Leggi la sezione Fai attenzione quando ruoti le chiavi API prima di procedere.
Se i problemi persistono o hai bisogno di aiuto, contatta l'assistenza.

Restrizioni consigliate per le applicazioni e le API

Le sezioni seguenti suggeriscono restrizioni appropriate per le applicazioni e le API per ogni API, SDK o servizio Google Maps Platform.

Restrizioni API consigliate

Le seguenti linee guida per le limitazioni delle API si applicano all'intera Google Maps Platform:

Limita la tua chiave API solo alle API per cui la utilizzi, con le seguenti eccezioni:

Se la tua app utilizza Places SDK for Android o Places SDK for iOS, autorizza l'API Places.
Se la tua app utilizza l'API Maps JavaScript, autorizzala sempre sulla tua chiave.
Se utilizzi anche uno dei seguenti servizi dell'API Maps JavaScript, devi autorizzare anche le seguenti API:

Servizio	Restrizione delle API
Servizio Directions, API Maps JavaScript (legacy)	API Directions (legacy)
Servizio Distance Matrix, API Maps JavaScript (legacy)	API Distance Matrix (legacy)
Servizio Elevation, API Maps JavaScript	API Elevation
Servizio Geocoding, API Maps JavaScript	API Geocoding
API Places Library, Maps JavaScript	API Places

Ecco alcuni esempi:

Utilizzi Maps SDK for Android e Places SDK for Android, quindi includi Maps SDK for Android e l'API Places come limitazioni dell'API.
Il tuo sito web utilizza il servizio di elevazione dell'API Maps JavaScript e l'API Maps Static, quindi aggiungi le restrizioni per tutte le seguenti API:
- API Maps JavaScript
- API Elevation
- API Maps Static

Limitazione delle applicazioni consigliata

Siti web con API Maps JavaScript o API web statica

Per i siti web che utilizzano i servizi Maps JavaScript o le API web statiche, utilizza la limitazione delle applicazioniWebsites.

Da utilizzare per i siti web che utilizzano questi servizi e API JavaScript:

¹ Per le applicazioni mobile, ti consigliamo di utilizzare Maps SDK for Android e Maps SDK for iOS nativi.

² Consulta anche Proteggere le app mobile utilizzando API di servizio web o web statiche.

Siti web con l'API Maps Embed

Sebbene l'utilizzo dell'API Maps Embed non sia a pagamento, devi comunque limitare qualsiasi chiave API utilizzata per evitare abusi su altri servizi.

Best practice: crea una chiave API separata per l'utilizzo dell'API Maps Embed e limita questa chiave solo all'API Maps Embed. Questa limitazione protegge sufficientemente la chiave, impedendone l'utilizzo non autorizzato su qualsiasi altro servizio Google.

Se non riesci a separare l'utilizzo dell'API Maps Embed in una chiave API distinta, proteggi la chiave utilizzando la limitazione delle applicazioni Websites.

App e server che utilizzano servizi web

Per le app e i server che utilizzano i servizi web, utilizza la limitazione dell'applicazione IP addresses.

Da utilizzare per app e server che utilizzano queste API:

³ Per le applicazioni mobile, ti consigliamo di utilizzare Places SDK for Android e Places SDK for iOS nativi.

App Android

Per le app su Android, utilizza la limitazione delle applicazioni Android apps. Da utilizzare per app e server che utilizzano questi SDK:

Inoltre, evita di controllare accidentalmente le chiavi API nel controllo versione utilizzando il plug-in Gradle Secrets per iniettare i secret da un file locale anziché archiviarli nel file Android Manifest.

App per iOS

Per le app su iOS, utilizza la limitazione delle applicazioni iOS apps. Da utilizzare per app e server che utilizzano questi SDK: