Open Cloud memverifikasi dan mengotorisasi akses API dengan menggunakan kunci API, yang memungkinkan Anda untuk menambahkan izin granuler dan kontrol keamanan untuk mengakses dan memanfaatkan sumber daya tertentu dalam pengalaman Anda, seperti penyimpanan data dan tempat.
Semua API Cloud Terbuka memerlukan Anda untuk membuat kunci API dengan izin yang valid dan termasuk header x-api-key dalam permintaan Anda, yang memungkinkan aplikasi untuk berautentikasi ke Open Cloud atas nama Anda.
Buat kunci API
Anda dapat membuat dan mengonfigurasi kunci API untuk pengalaman yang dimiliki secara individual atau pengalaman yang dimiliki kelompok (A Roblox kelompok memungkinkan banyak pencipta untuk bekerja pada pengalaman yang sama, menggunakan aset yang sama, dan berbagi kunci API).
Anda harus menjadi pemilik grup atau ditugaskan ke peran dalam kelompok yang memiliki izin kunci API admin untuk membuat kunci API untuk kelompok Anda.Anggota kelompok hanya dapat membuat kunci API dengan akses sumber daya yang sama dari peran mereka.Sebagai contoh, hanya anggota kelompok dengan izin Buat dan edit pengalaman kelompok dapat membuat kunci API yang dapat mempublikasikan file tempat.
Untuk membuat kunci API:
Navigasikan ke Dashboard Pencipta.
(Opsi) Klik dropdown Hub Pencipta untuk memilih kelompok jika Anda membuat kunci API untuk grup.
Di menu navigasi kiri, pilih Buka Cloud → Kunci API .
Klik tombol Buat Kunci API .
Masukkan nama unik untuk kunci API Anda.Gunakan nama yang dapat membantu Anda mengingat tujuan nanti, seperti PLACE_PUBLISHING_KEY untuk tempat penerbitan ke pengalaman Anda.
Di bagian Akses Izin , pilih API dari menu Pilih Sistem API dan klik tombol Tambahkan Sistem API .Ulangi langkah ini jika Anda perlu menambahkan beberapa API ke unit.
Pilih pengalaman yang ingin Anda unitdengan kunci API.
Dari dropdown Operasi Pengalaman , pilih operasi yang ingin Anda aktifkan untuk kunci API.
Banyak operasi dalam referensi API termasuk scope izin yang diperlukan.Sebagai contoh, operasi membersihkan penyimpanan memori memerlukan izin universe.memory-store:flush.
Untuk alasan keamanan, berikan setiap kunci API nomor minimum izin yang diperlukan.Jika kunci API bocor, prinsip hak akses minimum ini memastikan hanya sebagian kecil dari sumber daya Anda yang terancam.
Di bagian Keamanan , secara eksplisit atur akses IP ke kunci menggunakan notasi CIDR, jika tidak Anda tidak dapat menggunakan kunci API.Anda dapat menemukan alamat IP mesin lokal Anda dan menambahkannya ke bagian Alamat IP yang Diterima bersama dengan alamat IP tambahan untuk mereka yang membutuhkan akses.Jika Anda tidak memiliki IP tetap, atau Anda menggunakan kunci API hanya di lingkungan lokal, Anda dapat menambahkan 0.0.0.0/0 ke bagian Alamat IP yang Diterima untuk mengizinkan IP apa pun menggunakan unitAPI Anda.
(Opsi) : Untuk menambahkan perlindungan tambahan untuk sumber daya Anda, atur tanggal kedaluwarsa eksplisit sehingga kunci Anda secara otomatis berhenti bekerja setelah tanggal itu.
Klik tombol Simpan dan Hasilkan kunci .
Salin dan simpan string kunci API ke lokasi yang aman yang tidak merupakan repositori publik kode Anda.
Periksa kunci API yang dibuat di halaman Ekstensi API dari Dashboard Pencipta .
String kunci API setara dengan kata sandi aplikasi Anda.Jangan pernah membaginya dengan pihak yang tidak tepercaya, seperti siapa pun di luar tim pengembangan Anda.
Izin kunci API milik kelompok
Pemilik grup dapat mengelola izin kunci API milik grup untuk anggota grup memiliki tingkat kontrol yang berbeda terhadap kunci API berdasarkan peran dan izin dalam kelompok.Ada juga situasi yang secara otomatis menangkalkan izin manajemen kunci API untuk anggota kelompok.
Pemberi izin memberikan
Sebagai pemilik kelompok, Anda dapat memberikan izin Manajemen semua kunci API ke peran dalam grupAnda.Anggota dengan izin ini memiliki semua izin yang dimiliki pemilik kelompok untuk kunci API, termasuk kemampuan untuk membuat, melihat, batalkan, menarik kembali, dan memeriksa semua kunci API grup.
Anda juga dapat memberikan izin Manajemen kunci API sendiri ke peran dalam grupAnda.Ini memungkinkan anggota hanya membuat dan melihat kunci yang dimiliki oleh mereka daripada dapat mengelola kunci orang lain.
Validasi izin tidak sah
Ada beberapa situasi yang secara otomatis menarik kembali izin anggota kelompok untuk mengelola kunci API kelompok:
- Anggota ditugaskan ke peran yang berbeda yang tidak memiliki izin. Ini bisa terjadi selama transfer kepemilikan kelompok.
- Izin anggota dinonaktifkan pada peran yang ditugaskan saat ini.
- Anggota meninggalkan atau dihapus dari grup.
- Akun anggota di moderasi oleh Roblox.
Dalam salah satu kasus ini, kunci API yang dihasilkan oleh pengguna tersebut diberi status Dibatalkan .Untuk menggunakan kunci ini lagi, pemilik grup atau anggota dengan izin Manage all API keys harus meregenerasi kunci.
Format CIDR
Untuk melindungi sumber daya Anda lebih lanjut, saat membuat kunci API, spesifikasikan alamat IP yang dapat mengakses kunci API dengan alamat IP normal atau menggunakan notasi CIDR.Alamat IP CIDR terlihat seperti alamat IP normal kecuali berakhir dengan slash dan desimal yang mewakili berapa banyak bit dari alamat IP yang signifikan untuk rute jaringan:
- Biasa : 192.168.0.0
- CIDR : 192.168.0.0/24
Bagian sebelumnya adalah alamat IP dan bagian terakhir adalah netmask , menghitung bit 1s dalam format biner.Dalam contoh sebelumnya, 24 berarti 255.255.255.0 (24 1s) yang memungkinkan semua IP antara 192.168.0.0 dan 192.168.0.255 .Memahami format CIDR sangat berguna jika Anda berencana menjalankan aplikasi Anda di server.
statuskunci API
Kunci API awalnya memiliki status aktif, tetapi mereka dapat menjadi tidak aktif selama masa hidup mereka.Untuk mempelajari mengapa kunci API telah berubah status dan cara mengembalikan kunci API ke status aktif, lihat tabel berikut.
Jika Anda atau kelompok Anda tidak menggunakan atau memperbarui kunci API selama 60 hari, itu akan kedaluwarsa secara otomatis, bahkan jika tidak memiliki tanggal kedaluwarsa yang ditetapkan.Ini mengurangi risiko aktor buruk menggunakan kunci API lama.Jika Anda tidak lagi menggunakan unitAPI, Anda harus secara manual menonaktifkan atau menghapusnya.
| Status | Penyebab | Resolusi |
|---|---|---|
| Aktif | Tidak ada masalah. Pengguna dapat menggunakan kunci untuk melakukan verifikasi panggilan API. | N/A |
| Dinonaktifkan | Pengguna menonaktifkan kunci dengan menonaktifkan tombol Aktifkan Kunci toggle. | Aktifkan tombol Aktifkan Kunci toggle. |
| Kadaluarsa | Tanggal kedaluwarsa unittelah berlalu. | Entah menghapus atau menetapkan tanggal kedaluwarsa baru. |
| Kadaluarsa Otomatis | Pengguna belum menggunakan atau memperbarui kunci dalam 60 hari terakhir. | Anda dapat menonaktifkan lalu mengaktifkan tombol Aktifkan Kunci atau Anda dapat memperbarui salah satu properti unit, seperti nama, deskripsi, atau tanggal kedaluwarsa. |
| Dicabut | Hanya untuk kunci grup. Akun yang menghasilkan kunci tidak lagi memiliki izin akses yang cukup untuk mengelola kunci kelompok. | Klik tombol Regenerate Key untuk mendapatkan rahasia baru. |
| Dimoderasi | Seorang admin Roblox mengubah rahasia unitkarena alasan keamanan. | Klik tombol Regenerate Key untuk mendapatkan rahasia baru. |
| Pengguna Dimoderasi | Akun yang menghasilkan kunci di bawah moderasi oleh Roblox. | Selesaikan masalah moderasi di akun. |