Open Cloud authentifie et autorise l'accès à l'API en utilisant des clés API, ce qui vous permet d'ajouter des permissions granulaires et un contrôle de sécurité pour accéder et utiliser certaines ressources dans votre expérience, telles que des magasins de données et des endroits.
Toutes les API du cloud ouvertes nécessitent que vous créiez une clé API avec des permissions valides et incluent une balise x-api-key dans votre demande, ce qui permet à l'application d'authentifier Open Cloud en votre nom.
Créer des clés API
Vous pouvez créer et configurer des clés API pour vos expériences individuellement possédées ou appartenant à un groupe (un groupe Roblox permet à plusieurs créateurs de travailler sur la même expérience, d'utiliser les mêmes ressources et de partager les clés API).
Vous devez être le propriétaire du groupe ou être affecté à un rôle au sein du groupe qui a l'autorisation de clé API d'administration pour créer une clé API pour votre groupe.Un membre du groupe ne peut créer qu'une clé API avec les mêmes permissions d'accès à la ressource de son rôle.Par exemple, seuls les membres du groupe avec l'autorisation Créer et modifier des expériences de groupe peuvent créer une clé API qui peut publier un fichier de lieu.
Pour créer une clé API :
Accédez à la tableau de bord du créateur.
(Facultatif) Cliquez sur le menu déroulant Creator Hub pour sélectionner un groupe si vous créez la clé API pour un groupe.
Dans le menu de navigation à gauche, sélectionnez Ouvrir le cloud → Clés API .
Cliquez sur le bouton Créer clé API .
Entrez un nom unique pour votre clé API.Utilisez un nom qui peut vous aider à vous rappeler le but plus tard, comme PLACE_PUBLISHING_KEY pour les lieux de publication à votre expérience.
Dans la section permissions d'accès , sélectionnez une API dans le menu sélectionner système API et cliquez sur le bouton ajouter système API .Répétez cette étape si vous devez ajouter plusieurs API à la clé.
Sélectionnez l'expérience que vous souhaitez accéder avec la clé API.
Dans le menu déroulant opérations d'expérience , sélectionnez les opérations que vous souhaitez activer pour la clé API.
De nombreuses opérations dans la référence de l'API incluent les scopes de permission requis.Par exemple, l'opération de déchargement de la mémoire de stockage nécessite l'autorisation ».
Pour des raisons de sécurité, donnez à chaque clé API le nombre minimum de permissions requises.Si une clé API se divulgue, ce principe de privilège minimum garantit que seule une partie de vos ressources est compromise.
Dans la section sécurité , définissez explicitement l'accès IP à la clé en utilisant la notation CIDR, sinon vous ne pouvez pas utiliser la clé API.Vous pouvez trouver l'adresse IP de votre machine locale et l'ajouter à la section adresses IP acceptées ainsi que des adresses IP supplémentaires pour ceux qui ont besoin d'accès.Si vous n'avez pas d'IP fixe, ou si vous utilisez la clé API uniquement dans un environnement local, vous pouvez simplement ajouter 0.0.0.0/0 à la section Adresses IP acceptées pour permettre à n'importe quelle IP d'utiliser votre clé API.
(Facultatif) : Pour ajouter une protection supplémentaire pour vos ressources, définissez une date d'expiration explicite afin que votre clé cesse de fonctionner automatiquement après cette date.
Cliquez sur le bouton enregistrer et générer la clé .
Copiez et enregistrez la chaîne de clé API dans un emplacement sécurisé qui n'est pas un référentiel public de votre code .
Vérifiez votre clé API créée sur la page extensions API du tableau de bord du créateur .
La chaîne de clé de l'API est équivalente au mot de passe de votre application.Ne le partagez jamais avec des parties non fiables, telles que n'importe qui en dehors de votre équipe de développement.
Permissions de clé API appartenant au groupe
Les propriétaires de groupes peuvent gérer les permissions de clé API appartenant au groupe pour les membres du groupe d'avoir différents niveaux de contrôle des clés API en fonction des rôles et des permissions dans le groupe.Il y a aussi des situations qui révoquent automatiquement les permissions de gestion des clés API pour les membres du groupe.
Autorisation d'octroi
En tant que propriétaire de groupe, vous pouvez accorder l'autorisation gérer toutes les clés API aux rôles au sein de votre groupe.Les membres avec cette autorisation ont toutes les permissions qu'un propriétaire de groupe a pour les clés API, y compris la capacité de créer, de voir, de modifier, de retireret d'auditer toutes les clés API du groupe.
Vous pouvez également accorder la permission Gérer vos propres clés API aux rôles au sein de votre groupe.Cela permet aux membres de créer et de visualiser uniquement les clés dont ils sont propriétaires plutôt que de pouvoir gérer les clés des autres.
Validation des permissions
Il y a plusieurs situations qui révoquent automatiquement la permission d'un membre du groupe de gérer les clés API du groupe :
- Le membre est attribué à un rôle différent qui n'a pas la permission. Cela peut se produire pendant un transfert de la propriété du groupe.
- La permission du membre est désactivée sur son rôle actuellement attribué.
- Le membre quitte ou est retiré du groupe.
- Le compte du membre est modéré par Roblox.
Dans l'un de ces cas, les clés API générées par cet utilisateur sont attribuées le statut Retiré .Pour réutiliser ces clés, le propriétaire du groupe ou un membre avec l'autorisation gérer toutes les clés API doit régénérer les clés.
Format de CIDR
Pour protéger davantage vos ressources, lorsque vous créez une clé API , spécifiez les adresses IP qui peuvent accéder à la clé API avec des adresses IP normales ou en utilisant la notation CIDR .Une adresse IP CIDR ressemble à une adresse IP normale, sauf qu'elle se termine par un slash et un nombre décimal qui représente le nombre de bits de l'adresse IP qui sont significatifs pour la routage réseau :
- Normal : 192.168.0.0
- CIDR : 192.168.0.0/24
La partie précédente est l'adresse IP et la partie suivante est le masque de réseau , comptant les bits de 1s au format binaire.Dans l'exemple précédent, 24 signifie 255.255.255.0 (24 1s) qui permet toutes les IP entre 192.168.0.0 et 192.168.0.255 .Comprendre le format CIDR est particulièrement utile si vous prévoyez d'exécuter vos applications sur un serveur.
statutde la clé API
Les clés API ont initialement un statut actif, mais elles peuvent devenir inactives au cours de leur vie.Pour savoir pourquoi une clé API a changé d'état et comment retourner la clé API à un état actif, voir le tableau suivant.
Si vous ou votre groupe ne utilisez pas ou ne mettez pas à jour une clé API pendant 60 jours, elle expire automatiquement, même si elle n'a pas de date d'expiration définie.Cela réduit le risque que des acteurs malveillants utilisent des anciennes clés API.Si vous n'utilisez plus de clé API, vous devez la désactiver ou la supprimer manuellement.
| Statut | Raison | Résolution |
|---|---|---|
| Actif | Aucun problème. L'utilisateur peut utiliser la clé pour authentifier les appels API. | N/A |
| Désactivé | L'utilisateur a désactivé la clé en désactivant l'option activer/désactiverla clé. | Activez l'option activer/désactiverla clé. |
| Expiré | La date d'expiration de la clé est expirée. | Supprimez ou définissez une nouvelle date d'expiration. |
| Expiration automatique | L'utilisateur n'a pas utilisé ou mis à jour la clé au cours des 60 derniers jours. | Vous pouvez soit désactiver puis activer l'option activer la clé, soit mettre à jour l'une des propriétés de la clé, telles que le nom, la description ou la date d'expiration. |
| Retiré | Pour les clés de groupe uniquement. Le compte qui a généré la clé n'a plus la permission d'accès suffisante pour gérer les clés du groupe. | Cliquez sur le Régénérer la clé pour obtenir un nouveau secret. |
| Modéré | Un administrateur Roblox a modifié le secret de la clé pour des raisons de sécurité. | Cliquez sur le Régénérer la clé pour obtenir un nouveau secret. |
| Utilisateur modéré | Le compte qui a généré la clé est modéré par Roblox. | Résoudre le problème de modération sur le compte. |