הנחיות אבטחה בפלטפורמה של מפות Google

קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

אפליקציות ופרויקטים שמשתמשים בממשקי ה-API וערכות ה-SDK של פלטפורמת מפות Google חייבים להשתמש במפתחות API או, אם יש תמיכה, ב-OAuth 2.0, כדי לבצע אימות. מגבילים את מפתחות ה-API כדי למנוע שימוש לא מורשה. אתם אחראים על החיובים שנובעים משימוש לרעה במפתחות API ללא הגבלה.

בשיטות המומלצות הבאות מוסבר איך להגביל אותם.

בנוסף להגבלות על אפליקציות ומפתחות API, חשוב לפעול לפי כל שיטות האבטחה שחלות על מוצרים ספציפיים של הפלטפורמה של מפות Google. לדוגמה, בקטע הגבלות מומלצות על אפליקציות וממשקי API בהמשך מפורטות ההגבלות על ממשק API של JavaScript במפות Google.

אם מפתחות ה-API כבר נמצאים בשימוש, כדאי לעיין בהמלצות שבקטע אם מגבילים או יוצרים מחדש מפתח API שנמצא בשימוש.

פרטים נוספים על חתימות דיגיטליות זמינים במדריך לחתימות דיגיטליות.

שיטות מומלצות

כדי לשפר את האבטחה וכדי להימנע מחיוב על שימוש לא מורשה, מומלץ לפעול לפי השיטות המומלצות הבאות לאבטחת API בכל ממשקי ה-API, ערכות ה-SDK או השירותים של הפלטפורמה של מפות Google:

מומלץ לכל שימושי מפתח ה-API

הגבלת מפתחות ה-API

שימוש במפתחות API נפרדים לכל אפליקציה

מחיקה של מפתחות API שלא בשימוש

בדיקת השימוש במפתח ה-API

חשוב להיזהר כשמחליפים מפתחות API

המלצות נוספות לאתרים שמשתמשים בממשקי Static Web API

הגנה על אפליקציות באמצעות ממשקי Static Web API

המלצות נוספות לאפליקציות שמשתמשות בשירותי אינטרנט

הגנה על אפליקציות באמצעות שירותי אינטרנט

המלצות נוספות לאפליקציות לנייד ל-iOS ול-Android

הגנה על אפליקציות לנייד באמצעות ממשקי API של שירותי אינטרנט או ממשקי API סטטיים לאינטרנט

אם מגבילים או יוצרים מחדש מפתח API שנמצא בשימוש

• לפני שמחליפים את מפתח ה-API, בודקים את השימוש במפתח ה-API. השלב הזה חשוב במיוחד אם מוסיפים הגבלות אחרי שהמפתח נמצא בשימוש.

• אחרי שמחליפים את המפתח, מעדכנים את כל האפליקציות במפתחות ה-API החדשים לפי הצורך.

• אם אין ניצול לרעה פעיל של מפתח ה-API, תוכלו להעביר את האפליקציות למספר מפתחות API חדשים בקצב שלכם, בלי לגעת במפתח ה-API המקורי עד שתראו רק סוג אחד של תנועה, ואז תוכלו להגביל את מפתחות ה-API לתנועה הזו באמצעות הגבלת אפליקציה. להוראות נוספות, ראו מיגרציה למספר מפתחות API.

  לפני שתבחרו להגביל או למחוק את המפתח הישן, כדאי לעקוב אחרי השימוש בו לאורך זמן ולראות מתי ממשקי API, סוגי פלטפורמות ודומיינים מסוימים הועברו ממפתח ה-API הישן. למידע נוסף, ראו דיווח ומעקב ומדדים.

• אם מפתח ה-API נחשף, כדאי לפעול מהר יותר כדי לאבטח את מפתח ה-API ולעצור את ניצול לרעה. באפליקציות ל-Android ול-iOS, המפתחות לא מוחלפים עד שהלקוחות מעדכנים את האפליקציות שלהם. עדכון או החלפה של מפתחות באפליקציות JavaScript או בשירותי אינטרנט היא פשוטה הרבה יותר, אבל עדיין עשויה לדרוש תכנון קפדני ועבודה מהירה.

  מידע נוסף זמין במאמר טיפול בשימוש לא מורשה במפתח API.

הגבלת מפתחות ה-API

מומלץ תמיד להגביל את מפתחות ה-API באמצעות הגבלת אפליקציה והגבלה אחת או יותר של ממשק API. בהמשך מפורטות הצעות להגבלות לפי API, SDK או שירות JavaScript בקטע הגבלות מומלצות על אפליקציות וממשקי API.

• הגבלת אפליקציה אפשר להגביל את השימוש במפתח API לפלטפורמות ספציפיות: אפליקציות ל-Android או ל-iOS, או אתרים ספציפיים לאפליקציות בצד הלקוח, או כתובות IP ספציפיות או תת-רשתות CIDR ספציפיות לאפליקציות בצד השרת שמנפיקות קריאות ל-API של שירותי אינטרנט ב-REST.

  כדי להגביל מפתח, מוסיפים הגבלה אחת או יותר על אפליקציות מהסוגים שרוצים להעניק להם הרשאה, ולאחר מכן רק בקשות שמקורן במקורות האלה מותרות.

• הגבלות על ממשקי API אתם יכולים להגביל את ממשקי ה-API, ערכות ה-SDK או השירותים של הפלטפורמה של מפות Google שבהם אפשר להשתמש במפתח ה-API. ההגבלות על ממשקי API מאפשרות רק בקשות לממשקי ה-API ולערכות ה-SDK שציינתם. לכל מפתח API ניתן לציין כמה הגבלות על ממשקי API שרוצים. רשימת ממשקי ה-API הזמינים כוללת את כל ממשקי ה-API שמופעלים בפרויקט.

הגדרת הגבלת אפליקציה למפתח API

1. פותחים את הדף Google Maps Platform Credentials במסוף Google Cloud.

2. בוחרים את מפתח ה-API שרוצים להגביל.

3. בדף Edit API key, בקטע Key restrictions, בוחרים באפשרות Set an application restriction.

   

4. בוחרים אחד מסוגי ההגבלות ומספקים את המידע המבוקש בהתאם לרשימת ההגבלות.

   סוג ההגבלה	תיאור
   אתרים	מציינים אתר מפנה אחד או יותר. הסכימות הנתמכות אוניברסלית של URI של מפנה הן https ו-http. תמיד צריך לספק את כתובת ה-URI המלאה של המפנה, כולל הסכימה של הפרוטוקול, שם המארח והיציאה האופציונלית (למשל, https://google.com). אפשר להשתמש בתווים כלליים לחיפוש כדי להעניק הרשאה לכל תת-הדומיינים. לדוגמה, ההגבלה https://*.google.com מקבלת את כל האתרים שמסתיימים ב-.google.com. חשוב לדעת: אם מציינים את www.domain.com, הוא פועל כתו כללי לחיפוש www.domain.com/* ומעניק הרשאה לכל נתיב משנה בשם המארח הזה. חשוב להפעיל שיקול דעת כשנותנים הרשאה למקורות מפנים עם נתיב מלא, למשל https://google.com/some/path, כי כברירת מחדל, רוב הדפדפנים הנוכחיים מסירים את הנתיב מהבקשות ממקורות שונים.
   כתובות IP	מציינים כתובת IPv4 או IPv6 אחת או יותר, או תת-רשתות, באמצעות סימון CIDR. כתובות ה-IP חייבות להתאים לכתובת המקור ששרתי פלטפורמת מפות Google מזהים. אם אתם משתמשים בתרגום כתובות רשת (NAT), הכתובת הזו תואמת בדרך כלל לכתובת ה-IP הציבורית של המכונה.
   אפליקציות ל-Android	מוסיפים את שם החבילה של Android (מהקובץ AndroidManifest.xml) ואת טביעת האצבע של אישור החתימה SHA-1 של כל אפליקציה ל-Android שרוצים להעניק לה הרשאה. אם אתם משתמשים בחתימת אפליקציות ב-Play, תוכלו לקרוא את המאמר עבודה עם ספקי API כדי לאחזר את טביעת האצבע של אישור החתימה. אם אתם מנהלים מפתח חתימה משלכם, תוכלו לעיין במאמר חתימה עצמית על האפליקציה או בהוראות לסביבת ה-build.
   אפליקציות ל-iOS	מוסיפים את מזהה החבילה של כל אפליקציה ל-iOS שרוצים להעניק לה הרשאה.

   למידע נוסף על המלצות להגבלת אפליקציות, אפשר לעיין במאמר המלצות להגבלת אפליקציות.

5. לוחצים על שמירה.

הגדרת הגבלות על ממשקי API למפתח API

1. פותחים את הדף Google Maps Platform Credentials במסוף Google Cloud.

2. בוחרים את מפתח ה-API שרוצים להגביל.

3. בדף Edit API key (עריכת מפתח ה-API), בקטע API restrictions (הגבלות על API):

   • בוחרים באפשרות Restrict key.

   • פותחים את Select APIs ובוחרים את ממשקי ה-API או ערכות ה-SDK שרוצים לתת לאפליקציה גישה אליהם באמצעות מפתח ה-API.

   אם ממשק API או SDK מסוימים לא מופיעים ברשימה, צריך להפעיל אותם. פרטים נוספים זמינים במאמר הפעלה של ממשק API או ערכת SDK.

   

4. לוחצים על שמירה.

   אחרי השלב הזה, ההגבלה הופכת לחלק מההגדרה של מפתח ה-API. חשוב לספק את הפרטים המתאימים ולבחור באפשרות Save כדי לשמור את ההגבלות על מפתחות ה-API. מידע נוסף זמין במדריך קבלת מפתח API במסמכי התיעוד של ממשק ה-API או ה-SDK הספציפיים שבהם אתם מעוניינים.

בהמשך מפורטות הגבלות מומלצות על ממשקי API.

בדיקת השימוש במפתח ה-API

אם אתם מגבילים מפתחות API אחרי שהם נוצרו, או אם אתם רוצים לראות באילו ממשקי API נעשה שימוש במפתח כדי שתוכלו להגביל אותם, כדאי לבדוק את השימוש במפתחות ה-API. השלבים האלה מראים באילו שירותים ובאילו שיטות API נעשה שימוש במפתח API. אם אתם רואים שימוש מעבר לשירותי הפלטפורמה של מפות Google, כדאי לבדוק אם צריך להוסיף הגבלות נוספות כדי למנוע שימוש לא רצוי. אפשר להשתמש בכלי הניתוחים של מדדי Cloud Console של הפלטפורמה של מפות Google כדי לקבוע אילו הגבלות על ממשקי API ואפליקציות יחולו על מפתח ה-API:

• איך בודקים אילו ממשקי API משתמשים במפתח ה-API

• בחירת סוג ההגבלה המתאים על האפליקציה באמצעות כלי הניתוחים של מדדים

איך בודקים אילו ממשקי API משתמשים במפתח ה-API

דוחות המדדים הבאים מאפשרים לכם לקבוע באילו ממשקי API נעשה שימוש במפתחות ה-API שלכם. אפשר להשתמש בדוחות האלה כדי:

• איך רואים איך נעשה שימוש במפתחות ה-API
• זיהוי של שימוש לא צפוי
• איך אפשר לוודא שבטוח למחוק מפתח שלא בשימוש? למידע נוסף על מחיקה של מפתח API, ראו מחיקת מפתחות API שלא בשימוש.

כשמחילים הגבלות על ממשקי API, אפשר להשתמש בדוחות האלה כדי ליצור רשימה של ממשקי API שרוצים להעניק להם הרשאה, או כדי לאמת המלצות שהונפקו באופן אוטומטי לגבי הגבלות על מפתחות API. מידע נוסף על ההגבלות המומלצות זמין במאמר החלת ההגבלות המומלצות. מידע נוסף על השימוש ב-Metrics Explorer זמין במאמר יצירת תרשימים באמצעות Metrics Explorer.

1. נכנסים לכלי למעקב אחר מדדים במסוף Google Cloud.

2. נכנסים לחשבון ובוחרים את הפרויקט של מפתחות ה-API שרוצים לבדוק.

3. עוברים לדף Metrics Explorer של סוג ה-API הרצוי:

   • למפתחות API שמשתמשים בכל ממשק API למעט Maps Embed API: עוברים לדף Metrics Explorer.

   • למפתחות API שמשתמשים ב-Maps Embed API: עוברים אל Metrics Explorer.

4. בודקים כל מפתח API:

   1. בוחרים באפשרות הוספת מסנן.

   2. בוחרים את התווית credential_id.

   3. בוחרים את הערך שתואם למפתח שרוצים לבדוק.

   4. שימו לב לאילו ממשקי API משמש מפתח ה-API הזה, ודאו שהשימוש צפוי.

   5. בסיום, בוחרים באפשרות הסרת מסנן delete בסוף השורה של המסנן הפעיל כדי למחוק את המסנן הנוסף.

5. חוזרים על הפעולה עם כל המפתחות האחרים.

6. מגבילים את מפתחות ה-API רק לממשקי ה-API שבהם אתם משתמשים.

7. אם אתם מזהים שימוש לא מורשה, תוכלו לעיין במאמר טיפול בשימוש לא מורשה במפתח API.

בחירת סוג ההגבלה המתאים על האפליקציה באמצעות 'כלי הניתוחים של המדדים'

אחרי שתבצעו את הפעולות הנדרשות כדי לוודא שמפתח ה-API משמש רק לשירותים של הפלטפורמה של מפות Google שבהם הוא משמש, ודאו גם שמפתח ה-API כולל את הגבלות האפליקציה המתאימות.

אם למפתח ה-API יש הגבלות מומלצות על מפתחות API, מחילים אותן. למידע נוסף, ראו החלת ההגבלות המומלצות על מפתחות API.

אם אין המלצות להגבלות למפתח ה-API, אפשר להחליט איזה סוג של הגבלה על האפליקציה להחיל על סמך הערך של platform_type שדווח באמצעות כלי הניתוחים של המדדים:

1. נכנסים לכלי למעקב אחר מדדים במסוף Google Cloud.

2. נכנסים לחשבון ובוחרים את הפרויקט של ממשקי ה-API שרוצים לבדוק.

3. עוברים לדף הזה ב-Metrics Explorer: Metrics explorer.

4. בודקים כל מפתח API:

   1. בוחרים באפשרות הוספת מסנן.

   2. בוחרים את התווית credential_id.

   3. בוחרים את הערך שתואם למפתח שרוצים לבדוק.

   4. בסיום, בוחרים באפשרות הסרת מסנן delete בסוף השורה של המסנן הפעיל כדי למחוק את המסנן הנוסף.

5. חוזרים על הפעולה עם כל המפתחות האחרים.

6. אחרי שמגדירים את סוג הפלטפורמה של מפתחות ה-API, מחילים את ההגבלה על האפליקציה עבור platform_type:

   PLATFORM_TYPE_JS : החלת הגבלות גישה לאתרים על המפתח.

   PLATFORM_TYPE_ANDROID : החלת הגבלות על אפליקציות ל-Android במפתח.

   PLATFORM_TYPE_IOS : החלת הגבלות על אפליקציות ל-iOS במפתח.

   PLATFORM_TYPE_WEBSERVICE : יכול להיות שתצטרכו להשתמש בהגבלות על כתובות IP במפתח כדי להגביל אותו כראוי. אפשרויות נוספות ל-Maps Static API ול-Street View Static API מפורטות במאמר הגנה על אפליקציות באמצעות ממשקי Static Web API. הוראות נוספות ל-Maps Embed API זמינות במאמר אתרים עם Maps Embed API.

   מפתח ה-API שלי משתמש בכמה סוגי פלטפורמות : אי אפשר לאבטח את התנועה בצורה הולמת באמצעות מפתח API אחד בלבד. צריך לעבור לכמה מפתחות API. מידע נוסף זמין במאמר מעבר לכמה מפתחות API.

שימוש במפתחות API נפרדים לכל אפליקציה

השיטה הזו מגבילה את ההיקף של כל מפתח. אם מפתח API אחד נפרץ, תוכלו למחוק או לבצע רוטציה של המפתח המושפע בלי שתצטרכו לעדכן את מפתחות ה-API האחרים. בכל פרויקט ניתן ליצור עד 300 מפתחות API. למידע נוסף, ראו מגבלות על מפתחות API.

מפתח API אחד לכל אפליקציה הוא אידיאלי למטרות אבטחה, אבל אפשר להשתמש במפתחות מוגבלים בכמה אפליקציות, כל עוד הן משתמשות באותו סוג של הגבלת אפליקציה.

החלת ההגבלות המומלצות על מפתחות API

לחלק מבעלי הפרויקטים והעורכים, מסוף Google Cloud מציע הגבלות ספציפיות למפתחות API ללא הגבלה, על סמך השימוש והפעילות שלהם בפלטפורמה של מפות Google.

אם יש המלצות, הן יופיעו כאפשרויות שמולאו מראש בדף **פרטי הכניסה לפלטפורמת מפות Google**.

סיבות לכך שלא מוצגת לכם המלצה, או שהיא חלקית

• אתם משתמשים במפתח ה-API (גם) בשירותים שאינם של הפלטפורמה של מפות Google. אם אתם רואים שימוש בשירותים אחרים, אל תפעילו את ההמלצה לפני שתבצעו את הפעולות הבאות:

  1. מוודאים שהשימוש ב-API שמוצג בכלי למדדים במסוף Google Cloud הוא לגיטימי.

  2. מוסיפים באופן ידני את השירותים החסרים לרשימת ממשקי ה-API שרוצים להעניק להם הרשאה.

  3. מוסיפים באופן ידני את כל ההגבלות החסרות על אפליקציות לשירותים שנוספו לרשימת ה-API. אם האפליקציות הנוספות שתוסיפו דורשות סוג אחר של הגבלות, תוכלו לעיין במאמר מעבר למספר מפתחות API.

• מפתח ה-API לא משמש ב-SDK או ב-API בצד הלקוח.

• אתם משתמשים במפתח ה-API באפליקציה או באתר עם נפח נתונים נמוך שלא היו בהם שימושים ב-60 הימים האחרונים.

• יצרתם מפתח חדש לאחרונה מאוד, או פרסתם לאחרונה מאוד מפתח קיים באפליקציה חדשה. במקרה כזה, צריך להמתין עוד כמה ימים כדי לאפשר לעדכן את ההמלצות.

• אתם משתמשים במפתח ה-API במספר אפליקציות שדורשות סוגים מתנגשים של הגבלות על אפליקציות, או אתם משתמשים באותו מפתח API ביותר מדי אפליקציות או אתרים שונים. בכל מקרה, השיטה המומלצת היא לעבור לכמה מפתחות. מידע נוסף זמין במאמר מעבר לכמה מפתחות API.

סיבות אפשריות לכך שיוצגו לכם המלצות שלא מוצגות בתרשימים

• האפליקציה או האתר שלכם שלחו רק תנועה קצרה מאוד. במקרה כזה, צריך לעבור מתצוגת CHART לתצוגת TABLE או BOTH, כי השימוש עדיין גלוי במקרא. מידע נוסף זמין במאמר הצגה או הסתרה של כותרות מלאות בתרשים.

• התנועה מגיעה מ-Maps Embed API. להוראות, ראו זיהוי ממשקי ה-API שמשתמשים במפתח ה-API.

• התנועה מהאפליקציה או מהאתר נמצאת מחוץ לטווח התאריכים שזמין ב-Metrics Explorer במסוף Google Cloud.

כדי להחיל את ההגבלות המומלצות

1. פותחים את הדף Google Maps Platform Credentials במסוף Google Cloud.

2. אם האפשרות הזו זמינה, בוחרים באפשרות החלת ההגבלות המומלצות.

   

   הערה: אם לא מוצגות הגבלות מומלצות, תוכלו לעיין במאמר הגדרת הגבלות API למפתח API כדי להגדיר הגבלות מתאימות.

3. בוחרים באפשרות Check API usage כדי לוודא באילו שירותים נעשה שימוש במפתח ה-API. אם מופיעים שירותים שאינם של פלטפורמת מפות Google, צריך להשהות את הבדיקה כדי לבדוק באופן ידני את השלבים של ההמלצה שלמעלה. אפשר לעיין בשלבים לפתרון בעיות בתחילת הקטע החלת ההגבלות המומלצות על מפתחות API.

4. מוודאים שההגבלות שמולאו מראש תואמות לאתרים ולאפליקציות שבהם אתם מתכוונים להשתמש במפתח ה-API.

   שיטה מומלצת: מתעדים ומסירים הגבלות על אפליקציות או על ממשקי API שלא משויכים לשירותים שלכם. אם משהו לא יפעל בגלל יחסי תלות לא צפויים, תוכלו להוסיף חזרה את האפליקציות או ממשקי ה-API הנדרשים.

   • אם אתם רואים שאפליקציה, אתר או ממשק API חסרים מההמלצה, תוכלו להוסיף אותם באופן ידני או להמתין כמה ימים כדי שההמלצה תתעדכן.

   • לקבלת עזרה נוספת לגבי ההמלצה, פנו לתמיכה.

5. לוחצים על אישור.

מה עושים אם הבקשה נדחית אחרי שמיישמים המלצה

אם אתם מבחינים שאישור של אפליקציה או אתר נדחה אחרי החלת הגבלה, תוכלו לחפש את הגבלת האפליקציה שצריך להוסיף בהודעת השגיאה בתשובת ה-API.

לגבי ערכות SDK בצד הלקוח, אפשר לעיין בהמשך:

• אפליקציות של Maps JavaScript API: ראו את מסוף ניפוי הבאגים בדפדפן
• אפליקציות ל-Android: משתמשים ב-Android Debug Bridge‏ (adb) או ב-Logcat
• אפליקציות ל-iOS: הצגת הודעות ביומן

במאמר זיהוי ממשקי ה-API שמשתמשים במפתח ה-API מוסבר איך לבדוק את ההגבלות הנדרשות על ממשקי ה-API.

אם אתם לא מצליחים לקבוע אילו הגבלות להחיל:

1. כדאי לתעד את ההגבלות הקיימות לשימוש עתידי.
2. כדאי להסיר אותם באופן זמני בזמן הבדיקה של הבעיה. אפשר לבדוק את השימוש לאורך זמן לפי השלבים שמפורטים במאמר בדיקת השימוש במפתח API.
3. במקרה הצורך, אתם יכולים לפנות לתמיכה.

מחיקת מפתחות API שלא בשימוש

לפני שמוחקים מפתח API, צריך לוודא שהוא לא נמצא בשימוש בסביבת הייצור. אם אין תנועה מוצלחת, סביר להניח שאפשר למחוק את המפתח בבטחה. למידע נוסף, ראו בדיקת השימוש במפתח ה-API.

כדי למחוק מפתח API:

1. פותחים את הדף Google Maps Platform Credentials במסוף Google Cloud.

2. בוחרים את מפתח ה-API שרוצים למחוק.

3. לוחצים על הלחצן Delete בחלק העליון של הדף.

4. בדף Delete credential, בוחרים באפשרות Delete.

   המחיקה של מפתח API יכולה להימשך כמה דקות. אחרי שההפצה תושלם, כל תעבורת הנתונים שמשתמשת במפתח ה-API שנמחק תידחה.

חשוב להיזהר כשמחליפים את מפתחות ה-API

כשמבצעים רוטציה למפתח API, נוצר מפתח חדש עם כל ההגבלות של המפתח הישן. במהלך חלון הזמן הזה, גם המפתח הישן וגם המפתח החדש יתקבלו, כך שתוכלו להעביר את האפליקציות שלכם כך שישתמשו במפתח החדש.

לפני החלפת מפתח API:

• קודם נסו להגביל את מפתחות ה-API כפי שמתואר בקטע הגבלת מפתחות ה-API.

• אם אי אפשר להגביל את מפתח ה-API בגלל סוגי הגבלות סותרים באפליקציה, צריך לעבור לכמה מפתחות חדשים (מוגבלים) כפי שמתואר במאמר מעבר לכמה מפתחות API. ההעברה מאפשרת לכם לשלוט בתהליך ההעברה ובלוח הזמנים להשקה של מפתחות ה-API החדשים.

אם לא ניתן להשתמש בהצעות הקודמות, וצריך לבצע רוטציה של מפתח ה-API כדי למנוע שימוש לא מורשה, צריך לפעול לפי השלבים הבאים:

1. פותחים את הדף Google Maps Platform Credentials במסוף Google Cloud.

2. פותחים את מפתח ה-API שרוצים לבצע בו רוטציה.

3. בחלק העליון של הדף, בוחרים באפשרות סיבוב המפתח.

4. אם רוצים, משנים את השם של מפתח ה-API.

5. בוחרים באפשרות יצירה.

6. מעדכנים את האפליקציות כך שישתמשו במפתח החדש.

אחרי שמעדכנים את האפליקציות כך שישתמשו במפתח החדש, לוחצים על הלחצן Delete the previous key (מחיקת המפתח הקודם) בקטע Previous Key (המפתח הקודם) בדף של מפתח ה-API החדש.

מעבר למספר מפתחות API

כדי לעבור משימוש במפתח API אחד לכמה אפליקציות למפתח API ייחודי אחד לכל אפליקציה, מבצעים את הפעולות הבאות:

1. מזהים לאילו אפליקציות נדרשים מפתחות חדשים:

   • קל יותר לעדכן אפליקציות אינטרנט כי אתם שולטים בכל הקוד. כדאי לתכנן את העדכון של כל המפתחות של האפליקציות מבוססות-האינטרנט.
   • קשה הרבה יותר לבצע את התהליך באפליקציות לנייד, כי הלקוחות צריכים לעדכן את האפליקציות שלהם כדי שיוכלו להשתמש במפתחות החדשים.

2. יוצרים את המפתחות החדשים ומגבילים אותם: מוסיפים גם הגבלה על אפליקציה וגם לפחות הגבלה אחת על API. מידע נוסף זמין במאמר שיטות מומלצות.

3. מוסיפים את המפתחות החדשים לאפליקציות: בתהליך הזה, באפליקציות לנייד, יכול להיות שיחלפו חודשים עד שכל המשתמשים יעדכנו לאפליקציה האחרונה עם מפתח ה-API החדש.

הגנה על אפליקציות באמצעות ממשקי API סטטיים לאינטרנט

ממשקי API סטטיים לאינטרנט, כמו Maps Static API ו-Street View Static API, דומים לקריאות API של שירותי אינטרנט.

קוראים לשניהם באמצעות API ל-REST ב-HTTPS, ובדרך כלל יוצרים את כתובת ה-URL של הבקשה ל-API בשרת. עם זאת, במקום להחזיר תגובה בפורמט JSON, ממשקי API לאינטרנט סטטי יוצרים תמונה שאפשר להטמיע בקוד HTML שנוצר. חשוב לדעת שבדרך כלל הלקוח של משתמש הקצה, ולא השרת, הוא זה שמפעיל את הקריאה לשירות של פלטפורמת מפות Google.

שימוש בחתימה דיגיטלית

מומלץ תמיד להשתמש בחתימות דיגיטליות בנוסף למפתח API. בנוסף, כדאי לבדוק כמה בקשות ללא חתימה אתם רוצים לאפשר ביום, ולשנות את המכסות של בקשות ללא חתימה בהתאם.

פרטים נוספים על חתימות דיגיטליות זמינים במדריך לחתימות דיגיטליות.

הגנה על הסוד לחתימה

כדי להגן על ממשקי API סטטיים לאינטרנט, אל תטמיעו את סודות החתימה של ה-API ישירות בקוד או בעץ המקור, ואל תחשפו אותם באפליקציות בצד הלקוח. כדי להגן על סודות החתימה, מומלץ לפעול לפי השיטות המומלצות הבאות:

• חותמים על הבקשות בצד השרת, ולא בצד הלקוח. אם מבצעים את החתימה בצד הלקוח ב-JavaScript, חושפים אותה לכל מי שמבקר באתר. לכן, כשמדובר בתמונות שנוצרות באופן דינמי, תמיד צריך ליצור את כתובות ה-URL החתולות של הבקשות ל-Maps Static API ול-Street View Static API בצד השרת כשמציגים את דף האינטרנט. לתוכן סטטי באינטרנט, אפשר להשתמש בווידג'ט Sign a URL now בדף Credentials של פלטפורמת מפות Google במסוף Cloud.

• אחסון סודות החתימה מחוץ לקוד המקור ולעץ המקור של האפליקציה. אם תוסיפו את סודות החתימה או מידע פרטי אחר למשתני סביבה או לכללו קבצים שמאוחסנים בנפרד, ואז תשתפו את הקוד, סודות החתימה לא ייכללו בקבצים המשותפים. אם אתם מאחסנים סודות חתימה או מידע פרטי אחר בקבצים, כדאי לשמור את הקבצים מחוץ לעץ המקור של האפליקציה כדי שהסודות לחתימה לא יגיעו למערכת הבקרה של קוד המקור שלכם. זו המלצה חשובה במיוחד למי שמשתמש במערכת ציבורית לניהול קוד מקור, כמו GitHub.

הגנה על מפתח ה-API באפליקציות באמצעות שירותי אינטרנט

אחסון מפתחות API מחוץ לקוד המקור או לעץ המקור של האפליקציה. אם תשתפו את הקוד שלכם אחרי שתוסיפו את מפתחות ה-API או מידע אחר למשתני סביבה או תכללו קבצים שנשמרים בנפרד, מפתחות ה-API לא ייכללו בקבצים המשותפים. זו המלצה חשובה במיוחד למי שמשתמש במערכת ציבורית לניהול קוד מקור, כמו GitHub.

הגנה על מפתח ה-API וסוד החתימה באפליקציות לנייד באמצעות שירותי אינטרנט או ממשקי API סטטיים לאינטרנט

כדי להגן על אפליקציות לנייד, צריך להשתמש במאגר מפתחות מאובטח או בשרת proxy מאובטח:‏{:#proxy-server} כדי להגן על אפליקציות לנייד, צריך להשתמש במאגר מפתחות מאובטח או בשרת proxy מאובטח:

• אחסון מפתח ה-API או הסוד לחתימה במאגר מפתחות מאובטח. השלב הזה מקשה על גרירה (scraping) של מפתחות API ונתונים פרטיים אחרים ישירות מהאפליקציה.

• שימוש בשרת proxy מאובטח. שרת ה-proxy מספק מקור יציב לאינטראקציה עם ממשק ה-API המתאים של פלטפורמת מפות Google. למידע נוסף על שימוש בשרת proxy, ראו חוויה עקיפה: שימוש בשרתי proxy עם ספריות הלקוח של Google Data API

  • יוצרים את הבקשות של פלטפורמת מפות Google בשרת ה-proxy. לא מאפשרים ללקוחות להעביר קריאות שרירותיות ל-API באמצעות שרת ה-proxy.

  • עיבוד נוסף של התשובות מפלטפורמת מפות Google בשרת ה-proxy. לסנן נתונים שהלקוח לא צריך.

שימוש ב-App Check לאבטחת מפתח ה-API

ערכות SDK וממשקי API מסוימים של מפות Google מאפשרים לשלב את האפליקציה עם Firebase App Check. בדיקת האפליקציות מספקת הגנה לשיחות מהאפליקציה שלכם אל הפלטפורמה של מפות Google על ידי חסימה של תעבורת נתונים שמגיעה ממקורות שאינם אפליקציות חוקיות. הוא עושה זאת על ידי בדיקה של אסימון מספק אימות. שילוב האפליקציות שלכם עם App Check עוזר להגן מפני בקשות זדוניות, כך שלא תחויבו על קריאות API לא מורשות.

הוראות לשילוב עם App Check:

• Places SDK ל-iOS
• Places SDK ל-Android
• Maps JavaScript API
• הקלאס Place, ‏ Maps JavaScript API

טיפול בשימוש לא מורשה במפתח API

אם תזהו שימוש לא מורשה במפתח ה-API שלכם, תוכלו לפעול לפי השלבים הבאים כדי לטפל בבעיה:

1. הגבלת המפתחות: אם השתמשתם באותו מפתח בכמה אפליקציות, כדאי לעבור לכמה מפתחות API ולהשתמש במפתחות API נפרדים לכל אפליקציה. למידע נוסף:

   • הגבלת מפתחות ה-API
   • מעבר לכמה מפתחות API
   • שימוש במפתחות API נפרדים לכל אפליקציה

2. אם אתם משתמשים ב-Places SDK או ב-Maps JavaScript API, אתם יכולים גם להשתמש ב-App Check כדי לאבטח את מפתח ה-API.

3. רק מחליפים או מבצעים רוטציה של מפתחות אם מתקיים אחד מהתנאים הבאים:

   • שימוש לא מורשה זוהה במפתחות שלא ניתן להגביל אותם או שכבר הוגבלו, ובמקרים שבהם לא ניתן להשתמש ב-App Check.
   • אתם רוצים לאבטח את מפתח ה-API במהירות רבה יותר ולהפסיק את ניצול לרעה.

   מומלץ לקרוא את הקטע חשוב להיזהר כשמבצעים רוטציה של מפתחות API לפני שממשיכים.

4. אם אתם עדיין נתקלים בבעיות או זקוקים לעזרה, תוכלו לפנות לתמיכה.

הגבלות מומלצות על אפליקציות וממשקי API

בקטעים הבאים מוצעות הגבלות מתאימות על אפליקציות וממשקי API לכל ממשק API, ערכת SDK או שירות של הפלטפורמה של מפות Google.

הגבלות מומלצות על ממשקי API

ההנחיות הבאות לגבי הגבלות API חלות על כל הפלטפורמה של מפות Google:

• מגבילים את מפתח ה-API רק לממשקי ה-API שבהם אתם משתמשים בו, עם החרגות הבאות:

  • אם האפליקציה שלכם משתמשת ב-Places SDK ל-Android או ב-Places SDK ל-iOS, צריך להעניק הרשאה ל-Places API.

  • אם האפליקציה שלכם משתמשת ב-Maps JavaScript API, תמיד צריך להעניק לה הרשאה במפתח.

  • אם אתם משתמשים גם באחד מהשירותים הבאים של Maps JavaScript API, עליכם להעניק הרשאה גם לממשקי ה-API הבאים:

  שירות	הגבלת API
  שירות מסלולים, Maps JavaScript API (קודם)	Directions API (קודם)
  שירות מטריצת מרחקים, Maps JavaScript API (קודם)	Distance Matrix API (קודם)
  שירות גובה, Maps JavaScript API	Elevation API
  שירות המרת כתובות לקואורדינטות (geocoding)‏, Maps JavaScript API	Geocoding API
  ספריית מקומות, Maps JavaScript API	Places API

מספר דוגמאות:

• אתם משתמשים ב-Maps SDK ל-Android וב-Places SDK ל-Android, ולכן אתם צריכים לכלול את Maps SDK ל-Android ואת Places API כאילו מדובר בהגבלות API.

• באתר שלכם נעשה שימוש בשירות הגובה של Maps JavaScript API וב-Maps Static API, לכן צריך להוסיף הגבלות API לכל ממשקי ה-API הבאים:

  • Maps JavaScript API
  • Elevation API
  • Maps Static API

הגבלת אפליקציה מומלצת

אתרים עם Maps JavaScript API או Static Web API

לאתרים שמשתמשים בשירותי JavaScript של מפות Google או בממשקי API סטטיים לאינטרנט, צריך להשתמש בהגבלת האפליקציה Websites.

שימוש לאתרים שמשתמשים בשירותים ובממשקי ה-API הבאים של JavaScript:

Directions Service (הדור הקודם) שירות מטריצת מרחקים (מדור קודם) Elevation Service שירות המרת כתובות לקואורדינטות (geocoding)

Maps JavaScript API1 ספריית מקומות Maps Static API2 Street View Static API2

¹ לאפליקציות לנייד, מומלץ להשתמש ב-SDK של מפות ל-Android וב-SDK של מפות ל-iOS.

² אפשר גם לעיין במאמר הגנה על אפליקציות לנייד באמצעות שירות אינטרנט או ממשקי Static Web API.

אתרים עם Maps Embed API

השימוש ב-Maps Embed API לא כרוך בתשלום, אבל עדיין כדאי להגביל כל מפתח API בשימוש כדי למנוע ניצול לרעה בשירותים אחרים.

שיטה מומלצת: יוצרים מפתח API נפרד לשימוש ב-Maps Embed API ומגבילים את המפתח הזה ל-Maps Embed API בלבד. ההגבלה הזו מספקת אבטחה למפתח ומונעת שימוש בלתי מורשה בו בכל שירות אחר של Google.

אם אתם לא יכולים להפריד את השימוש ב-Maps Embed API למפתח API נפרד, תוכלו לאבטח את המפתח באמצעות ההגבלה על האפליקציה Websites.

אפליקציות ושרתים שמשתמשים בשירותי אינטרנט

באפליקציות ובשרתים שמשתמשים בשירותי אינטרנט, צריך להשתמש בהגבלת האפליקציה IP addresses.

שימוש באפליקציות ובשרתים באמצעות ממשקי ה-API האלה:

Address Validation API Aerial View API Air Quality API Directions API (ממשק מדור קודם) Distance Matrix API (ממשק API מדור קודם) Elevation API Geocoding API Geolocation API

Map Tiles API Maps Datasets API Places API 3 Roads API Routes API Pollen API Solar API Time Zone API

³ באפליקציות לנייד, מומלץ להשתמש ב-Places SDK ל-Android וב-Places SDK ל-iOS.

אפליקציות ל-Android

לאפליקציות ב-Android, משתמשים בהגבלת האפליקציה Android apps. שימוש באפליקציות ובשרתים באמצעות ערכות ה-SDK הבאות:

• SDK של מפות ל-Android
• Places SDK ל-Android
• Navigation SDK ל-Android

בנוסף, כדי למנוע בדיקה בטעות של מפתחות API במערכת לניהול גרסאות, אפשר להשתמש בPlugin של Gradle ל-Secrets כדי להחדיר סודות מקובץ מקומי במקום לאחסן אותם ב-Android Manifest.

אפליקציות ל-iOS

באפליקציות ל-iOS, משתמשים בהגבלת האפליקציה iOS apps. שימוש באפליקציות ובשרתים שמשתמשים ב-SDKs האלה:

• SDK של מפות ל-iOS
• Places SDK ל-iOS
• Navigation SDK ל-iOS

מידע קשור

• אופטימיזציה של השימוש בפלטפורמה של מפות Google באמצעות מכסות (סרטון)
• איך יוצרים ומגבילים מפתחות API לפלטפורמה של מפות Google (סרטון)
• הגבלת מפתחות API
• אבטחת מפתחות API כשמשתמשים בממשקי API של מפות סטטיות ושל Street View
• 15 שיטות מומלצות לשימוש בפלטפורמה של מפות Google