Рекомендации платформы Google Карт по безопасности

Для приложений и проектов, использующих API и SDK платформы Google Maps, необходимо использовать ключи API или, если поддерживается, Oauth, чтобы предотвратить несанкционированное использование и оплату. Если вы используете ключи API, в целях максимальной безопасности ограничьте использование ключей API при их создании. Эти лучшие практики покажут вам, как их ограничить.

Помимо применения ограничений на приложения и ключи API, соблюдайте все меры безопасности, применимые к конкретным продуктам платформы Google Maps. Например, см. Maps JavaScript API ниже в разделе «Рекомендуемые приложения и ограничения API» .

Если ваши ключи API уже используются, ознакомьтесь с рекомендациями ниже в разделе «Если вы ограничиваете или повторно создаете используемый ключ API» .

Более подробную информацию о цифровых подписях см. в Руководстве по цифровой подписи .

Рекомендуемые лучшие практики

Чтобы повысить безопасность и избежать выставления счетов за несанкционированное использование, следуйте этим рекомендациям по обеспечению безопасности API для всех API, SDK или служб платформы Google Maps:

Рекомендуется для всех видов использования ключей API.

Ограничьте свои ключи API

Используйте отдельные ключи API для каждого приложения.

Удалить неиспользуемые ключи API

Проверьте использование ключа API

Будьте осторожны при повторном создании ключей API.

Дополнительные рекомендации для веб-сайтов, использующих статические веб-API

Защита приложений с помощью статических веб-API

Дополнительные рекомендации для приложений, использующих веб-сервисы

Защита приложений с помощью веб-сервисов

Дополнительные рекомендации для мобильных приложений iOS и Android

Защитите мобильные приложения с помощью веб-службы или статических веб-API.

Если вы ограничиваете или повторно создаете используемый ключ API

• Прежде чем менять ключ API, проверьте использование ключа API. Этот шаг особенно важен, если вы добавляете ограничения после использования ключа.

• После изменения ключа при необходимости обновите все свои приложения новыми ключами API.

• Если нет активного злоупотребления вашим ключом API, вы можете перенести свои приложения на несколько новых ключей API в удобном для вас темпе, оставляя исходный ключ API нетронутым до тех пор, пока не увидите только один тип трафика, которым затем можно ограничить ключи API. с ограничением применения. Дополнительные инструкции см. в разделе Миграция на несколько ключей API .

  Отслеживайте использование с течением времени и узнавайте, когда определенные API, типы платформ и домены были перенесены со старого ключа API, прежде чем вы решите ограничить или удалить старый ключ. Дополнительные сведения см. в разделах «Отчетность и мониторинг» и «Метрики» .

• Если ваш ключ API был скомпрометирован, вам нужно действовать быстрее, чтобы защитить свой ключ API и остановить злоупотребления. В приложениях для Android и iOS ключи не заменяются, пока клиенты не обновят свои приложения. Обновление или замена ключей в приложениях JavaScript или веб-сервисах гораздо проще, но все равно может потребовать тщательного планирования и быстрой работы.

  Дополнительную информацию см. в разделе «Обработка несанкционированного использования ключа API» .

Ограничьте свои ключи API

Лучше всего всегда ограничивать ваши ключи API ограничением приложения и одним или несколькими ограничениями API. Рекомендуемые ограничения для API, SDK или службы JavaScript см. в разделе «Рекомендуемые ограничения для приложений и API» ниже.

• Ограничение приложений. Вы можете ограничить использование ключа API определенными платформами: приложениями Android или iOS, определенными веб-сайтами для клиентских приложений или определенными IP-адресами или подсетями CIDR для серверных приложений, выполняющих вызовы REST API веб-службы.

  Вы ограничиваете ключ, добавляя одно или несколько ограничений приложений тех типов, которые вы хотите авторизовать, после чего разрешаются только запросы, исходящие из этих источников.

• Ограничения API. Вы можете ограничить API, SDK или службы платформы Google Maps, в которых можно использовать ваш ключ API. Ограничения API разрешают запросы только к указанным вами API и SDK. Для любого ключа API вы можете указать столько ограничений API, сколько необходимо. Список доступных API включает все API, включенные в проекте.

Установите ограничение приложения для ключа API

1. Откройте страницу учетных данных платформы Google Maps в Google Cloud Console.

2. Выберите ключ API, который вы хотите ограничить.

3. На странице «Изменить ключ API» в разделе «Ограничения ключей» выберите «Задать ограничение приложения» .

   

4. Выберите один из типов ограничений и укажите запрошенную информацию после списка ограничений.

   Тип ограничения	Описание
   Веб-сайты	Укажите один или несколько реферальных веб-сайтов. Универсально поддерживаемые схемы URI реферера — https и http . Всегда указывайте полный URI реферера, включая схему протокола, имя хоста и дополнительный порт (например, https://google.com ). Вы можете использовать подстановочные знаки для авторизации всех поддоменов. Например, https://*.google.com принимает все сайты, заканчивающиеся на .google.com . Обратите внимание: если вы укажете www.domain.com, он действует как подстановочный знак www.domain.com/* и разрешает любой подпуть к этому имени хоста. Будьте осторожны при авторизации рефереров с полным путем, например https://google.com/some/path , поскольку по умолчанию большинство современных браузеров удаляют путь из запросов между источниками.
   IP-адреса	Укажите один или несколько адресов IPv4 или IPv6 или подсетей, используя нотацию CIDR. IP-адреса должны совпадать с исходным адресом, который наблюдают серверы платформы Google Maps. Если вы используете преобразование сетевых адресов (NAT) , этот адрес обычно соответствует общедоступному IP-адресу вашего компьютера.
   Приложения для Android	Добавьте имя пакета Android (из файла AndroidManifest.xml ) и отпечаток сертификата подписи SHA-1 для каждого приложения Android, которое вы хотите авторизовать. Если вы используете подпись приложения Play , чтобы получить отпечаток сертификата подписи, см. раздел Работа с поставщиками API . Если вы управляете собственным ключом подписи, см. раздел Самоподписание приложения или обратитесь к инструкциям для вашей среды сборки.
   iOS-приложения	Добавьте идентификатор пакета каждого приложения iOS, которое вы хотите авторизовать.

   Рекомендации по ограничению приложения см. в разделе Рекомендуемое ограничение приложения .

5. Выберите Сохранить .

Установите ограничения API для ключа API

1. Откройте страницу учетных данных платформы Google Maps в Google Cloud Console.

2. Выберите ключ API, который вы хотите ограничить.

3. На странице «Изменить ключ API» в разделе «Ограничения API» :

   • Выберите Ограничить ключ .

   • Откройте «Выбор API» и выберите API или SDK, к которым ваше приложение должно получить доступ с помощью ключа API.

     Если API или SDK не указаны, вам необходимо включить их. Подробности см. в разделе «Включение одного или нескольких API или SDK» .

   

4. Выберите Сохранить .

   После этого шага ограничение становится частью определения ключа API. Обязательно укажите соответствующие данные и нажмите «Сохранить» , чтобы сохранить ограничения ключа API. Дополнительную информацию см. в руководстве «Получение ключа API» в документации по конкретному API или SDK, который вас интересует.

Рекомендуемые ограничения API см. в разделе Рекомендуемые ограничения API .

Проверьте использование ключа API

Если вы ограничиваете ключи API после их создания или хотите увидеть, какие API используются ключом, чтобы вы могли их ограничить, вам нужно проверить использование ключа API. Эти шаги покажут вам, в каких службах и методах API используется ключ API. Если вы заметили какое-либо использование помимо служб платформы Google Maps, изучите вопрос, нужно ли вам добавлять дополнительные ограничения, чтобы избежать нежелательного использования. Вы можете использовать обозреватель метрик облачной консоли платформы Google Maps, чтобы определить, какие ограничения API и приложений применить к вашему ключу API:

• Определите API, которые используют ваш ключ API

• Выберите правильный тип ограничения приложения с помощью обозревателя метрик.

Определите API, которые используют ваш ключ API

Следующие отчеты по метрикам позволяют вам определить, какие API используют ваши ключи API. Используйте эти отчеты, чтобы сделать следующее:

• Посмотрите, как используются ваши ключи API
• Обнаружение неожиданного использования
• Помогите проверить, можно ли безопасно удалить неиспользуемый ключ. Информацию об удалении ключа API см. в разделе Удаление неиспользуемых ключей API .

При применении ограничений API используйте эти отчеты для создания списка API для авторизации или для проверки автоматически создаваемых рекомендаций по ограничению ключей API. Дополнительные сведения о рекомендуемых ограничениях см. в разделе Применение рекомендуемых ограничений . Дополнительные сведения об использовании обозревателя метрик см. в разделе Создание диаграмм с помощью обозревателя метрик .

1. Перейдите в проводник метрик Google Cloud Console.

2. Войдите в систему и выберите проект для ключей API, которые вы хотите проверить.

3. Перейдите на страницу обозревателя метрик для вашего типа API:

   • Для ключей API, использующих любой API, кроме Maps Embed API : перейдите на страницу обозревателя метрик .

   • Для ключей API с использованием Maps Embed API : перейдите в Обозреватель метрик .

4. Проверьте каждый ключ API:

   1. Выберите ДОБАВИТЬ ФИЛЬТР .

   2. Выберите метку credential_id .

   3. Выберите значение , соответствующее ключу, который вы хотите проверить.

   4. Обратите внимание, для каких API используется этот ключ API, и подтвердите, что его использование ожидается.

   5. После этого выберите « delete фильтр» в конце строки активного фильтра, чтобы удалить дополнительный фильтр.

5. Повторите эти действия для всех оставшихся ключей.

6. Ограничьте свои ключи API только теми API, которые используются.

7. Если вы заметили несанкционированное использование, см. раздел «Обработка несанкционированного использования ключа API» .

Выберите правильный тип ограничения приложения с помощью обозревателя метрик.

После того как вы проверили и предприняли все необходимые действия, чтобы убедиться, что ваш ключ API используется только для служб платформы Google Maps, которые он использует, также убедитесь, что ключ API имеет правильные ограничения приложения.

Если ваш ключ API имеет рекомендуемые ограничения для ключей API, примените их. Дополнительную информацию см. в разделе Применение рекомендуемых ограничений ключей API .

Если для вашего ключа API нет рекомендаций по ограничению, определите тип применяемого ограничения приложения на основе отчетного platform_type с помощью обозревателя метрик:

1. Перейдите в проводник метрик Google Cloud Console.

2. Войдите в систему и выберите проект для API, которые вы хотите проверить.

3. Перейдите на страницу обозревателя метрик: Обозреватель метрик .

4. Проверьте каждый ключ API:

   1. Выберите ДОБАВИТЬ ФИЛЬТР .

   2. Выберите метку credential_id .

   3. Выберите значение , соответствующее ключу, который вы хотите проверить.

   4. После этого выберите « delete фильтр» в конце строки активного фильтра, чтобы удалить дополнительный фильтр.

5. Повторите эти действия для всех оставшихся ключей.

6. Если у вас есть тип платформы для ваших ключей API, примените ограничение приложения для этого platform_type :

   PLATFORM_TYPE_JS

   Примените ограничения веб-сайта к ключу.

   PLATFORM_TYPE_ANDROID

   Примените ограничения приложений Android к ключу.

   PLATFORM_TYPE_IOS

   Примените ограничения приложений iOS к ключу.

   PLATFORM_TYPE_WEBSERVICE

   Возможно, вам придется полагаться на ограничения IP-адреса ключа, чтобы правильно ограничить его. Дополнительные параметры для статического API Карт и статического API просмотра улиц см. в разделе Защита приложений с помощью статических веб-API . Дополнительные инструкции по Maps Embed API см. в разделе Веб-сайты с Maps Embed API .

   Мой ключ API использует несколько типов платформ

   Ваш трафик не может быть должным образом защищен с помощью всего лишь одного ключа API. Вам необходимо перейти на несколько ключей API. Дополнительную информацию см. в разделе Миграция на несколько ключей API .

Используйте отдельные ключи API для каждого приложения.

Такая практика ограничивает область действия каждого ключа. Если один ключ API скомпрометирован, вы можете удалить или повторно создать затронутый ключ без необходимости обновлять другие ключи API. Вы можете создать до 300 ключей API для каждого проекта. Дополнительную информацию см. в разделе Ограничения на ключи API .

Хотя один ключ API для каждого приложения идеально подходит в целях безопасности, вы можете использовать ключи с ограниченным доступом в нескольких приложениях, если они используют один и тот же тип ограничения приложения.

Примените рекомендуемые ограничения ключей API.

Для некоторых владельцев и редакторов проектов Google Cloud Console предлагает определенные ограничения ключей API для неограниченных ключей API в зависимости от их использования и активности на платформе Google Maps.

Рекомендации, если они доступны, отображаются в виде предварительно заполненных параметров на странице учетных данных платформы Google Maps .

Причины, по которым вы можете не увидеть рекомендацию или неполную рекомендацию

• Вы (также) используете ключ API не только в службах платформы Google Maps. Если вы заметили использование в других службах, не применяйте рекомендацию, не выполнив предварительно следующее:

  1. Убедитесь, что использование API, которое вы видите в обозревателе метрик Google Cloud Console, является законным.

  2. Вручную добавьте недостающие службы в список API, подлежащих авторизации.

  3. Вручную добавьте недостающие ограничения приложений для служб, добавленных в список API. Если для другого добавленного вами приложения потребуются ограничения другого типа , см. раздел «Миграция на несколько ключей API» .

• Ваш ключ API не используется в клиентских SDK или API.

• Вы используете ключ API в небольшом приложении или на веб-сайте, который не использовался в течение последних 60 дней.

• Вы совсем недавно создали новый ключ или совсем недавно развернули существующий ключ в новом приложении. В этом случае подождите еще несколько дней, чтобы рекомендации обновились.

• Вы используете ключ API в нескольких приложениях, для которых потребуются конфликтующие типы ограничений приложений, или вы используете один и тот же ключ API в слишком большом количестве разных приложений или веб-сайтов. В любом случае рекомендуется перейти на несколько ключей. Дополнительные сведения см. в разделе Миграция на несколько ключей API .

Причины, по которым вы можете увидеть рекомендации, которых нет на диаграммах

• Ваше приложение или веб-сайт отправляли только очень короткие всплески трафика. В этом случае переключитесь из режима CHART для отображения TABLE или BOTH , поскольку использование по-прежнему отображается в легенде. Дополнительные сведения см. в разделе Переключение полных легенд диаграммы .

• Ваш трафик поступает из Maps Embed API. Инструкции см. в разделе Определение API, использующих ваш ключ API .

• Трафик из приложения или веб-сайта находится за пределами диапазона дат, доступного в проводнике метрик Google Cloud Console.

Чтобы применить рекомендуемые ограничения

1. Откройте страницу учетных данных платформы Google Maps в Google Cloud Console.

2. Если доступно, выберите «Применить рекомендуемые ограничения» .

   

   Примечание . Если вы не видите рекомендуемых ограничений, см. раздел Установка ограничений API для ключа API, чтобы установить соответствующие ограничения.

3. Выберите «Проверить использование API» , чтобы проверить, в каких службах используется ключ API. Если вы видите другие службы, кроме платформы Google Карт, сделайте паузу , чтобы вручную просмотреть приведенные выше рекомендации. См. инструкции по устранению неполадок в начале раздела «Применение рекомендуемых ограничений ключей API» .

4. Дважды проверьте, соответствуют ли предварительно заполненные ограничения веб-сайтам и приложениям, в которых вы планируете использовать свой ключ API.

   Рекомендации : документируйте и удаляйте любые ограничения приложений или API, не связанные с вашими сервисами. Если что-то сломается из-за неожиданной зависимости, вы можете снова добавить необходимые приложения или API.

   • Если вы обнаружите, что приложение, веб-сайт или API явно отсутствуют в вашей рекомендации, добавьте их вручную или подождите пару дней, чтобы рекомендация обновилась.

   • Если вам нужна дополнительная помощь по предлагаемой рекомендации, обратитесь в службу поддержки .

5. Выберите Применить .

Что делать, если вашу заявку отклонили после применения рекомендации

Если вы заметили, что приложение или веб-сайт отклоняется после применения ограничения, найдите ограничение приложения, которое необходимо добавить, в сообщении об ошибке ответа API.

Клиентские SDK см. ниже:

• Приложения Maps JavaScript API: см. консоль отладки браузера.
• Приложения для Android: используйте Android Debug Bridge (adb) или Logcat.
• Приложения iOS: см. Просмотр сообщений журнала.

Чтобы проверить необходимые ограничения API, см. раздел Определение API, использующих ваш ключ API .

Если вы не можете определить, какие ограничения применить:

1. Задокументируйте текущие ограничения для дальнейшего использования.
2. Временно удалите их, пока изучаете проблему. Вы можете проверить свое использование с течением времени, выполнив действия, описанные в разделе «Проверка использования ключа API» .
3. При необходимости обратитесь в службу поддержки .

Удалить неиспользуемые ключи API

Прежде чем удалить ключ API, убедитесь, что он не используется в рабочей среде. Если успешного трафика нет, ключ, скорее всего, можно безопасно удалить. Дополнительную информацию см. в разделе Проверка использования ключа API .

Чтобы удалить ключ API:

1. Откройте страницу учетных данных платформы Google Maps в Google Cloud Console.

2. Выберите ключ API, который вы хотите удалить.

3. Нажмите кнопку «Удалить» в верхней части страницы.

4. На странице Удалить учетные данные выберите Удалить .

   Удаление ключа API занимает несколько минут. После завершения распространения любой трафик, использующий удаленный ключ API, отклоняется.

Будьте осторожны при повторном создании ключей API.

При повторном создании ключа API создается новый ключ, имеющий все ограничения старого ключа. Этот процесс также запускает 24-часовой таймер, после которого старый ключ API удаляется.

В течение этого периода времени принимаются как старый, так и новый ключ, что дает вам возможность перенести свои приложения на использование нового ключа. Однако по истечении этого периода времени все приложения, все еще использующие старый ключ API, перестают работать.

Прежде чем повторно создать ключ API :

• Сначала попробуйте ограничить свои ключи API, как описано в разделе Ограничение ключей API .

• Если ограничение вашего ключа API невозможно из-за конфликтующих типов ограничений приложений, перейдите на несколько новых (ограниченных) ключей, как описано в разделе «Миграция на несколько ключей API» . Миграция позволяет вам контролировать миграцию и переходить к новым ключам API.

Если предыдущие предложения невозможны и вам необходимо повторно создать ключ API, чтобы предотвратить несанкционированное использование, выполните следующие действия:

1. Откройте страницу учетных данных платформы Google Maps в Google Cloud Console.

2. Откройте ключ API, который вы хотите восстановить.

3. Вверху страницы выберите «Регенерировать ключ» .

4. Выберите Заменить ключ .

Примечание . При необходимости вы можете выполнить откат любого ключа, который был восстановлен до предыдущей версии. Ограничений по времени для отката нет.

Чтобы откатить восстановленный ключ

1. Откройте страницу учетных данных платформы Google Maps в Google Cloud Console.

2. Откройте ключ API, который вы хотите откатить.

3. Выберите «Вернуться к предыдущему ключу» .

4. В диалоговом окне «Восстановить» выберите «Вернуть ключ» .

При откате прежняя «новая» версия ключа становится предыдущей версией, и для нее устанавливается новый 24-часовой таймер деактивации. Можно переключаться между этими двумя значениями ключа, пока вы не сгенерируете ключ снова.

Если вы повторно создадите ключ, оно перезапишет старое неактивное значение ключа.

Переход на несколько ключей API

Чтобы перейти от использования одного ключа API для нескольких приложений к одному уникальному ключу API для каждого приложения, выполните следующие действия:

1. Определите, каким приложениям нужны новые ключи :

   • Веб-приложения легче всего обновлять, поскольку вы контролируете весь код. Запланируйте обновление ключей всех ваших веб-приложений.
   • Мобильные приложения намного сложнее, поскольку ваши клиенты должны обновить свои приложения, прежде чем можно будет использовать новые ключи.

2. Создайте и ограничьте новые ключи . Добавьте ограничение приложения и хотя бы одно ограничение API. Дополнительные сведения см. в разделе Рекомендуемые рекомендации .

3. Добавьте новые ключи в свои приложения . Для мобильных приложений этот процесс может занять месяцы, пока все ваши пользователи не обновят последнюю версию приложения с новым ключом API.

Защита приложений с помощью статических веб-API

Статические веб-API, такие как Maps Static API и Street View Static API, аналогичны вызовам API веб-служб.

Вы вызываете оба, используя простой HTTPS REST API, и обычно генерируете URL-адрес запроса API на сервере. Однако вместо возврата ответа JSON статические веб-API генерируют изображение, которое можно встроить в сгенерированный HTML-код. Что еще более важно, обычно клиент конечного пользователя, а не сервер, вызывает службу платформы Google Maps.

Используйте цифровую подпись

Рекомендуется всегда использовать цифровые подписи в дополнение к ключу API. Кроме того, проверьте, сколько неподписанных запросов вы хотите разрешить в день, и соответствующим образом скорректируйте квоты неподписанных запросов .

Более подробную информацию о цифровых подписях см. в Руководстве по цифровой подписи .

Защитите свой секрет подписи

Чтобы защитить статические веб-API, не встраивайте секреты подписи API непосредственно в код или в дерево исходного кода и не раскрывайте их в клиентских приложениях. Следуйте этим рекомендациям для защиты секретов подписи:

• Подписывайте свои запросы на стороне сервера, а не на клиенте . Если вы выполняете подпись на стороне клиента с помощью JavaScript, вы раскрываете ее всем, кто посещает ваш сайт. Поэтому для динамически создаваемых изображений всегда генерируйте подписанные URL-адреса запросов статического API Карт и просмотра улиц на стороне сервера при обслуживании веб-страницы. Для статического веб-контента вы можете использовать виджет «Подписать URL сейчас» на странице учетных данных платформы Google Maps Cloud Console.

• Храните секреты подписи вне исходного кода и дерева исходного кода вашего приложения . Если вы поместите свои секреты подписи или любую другую личную информацию в переменные среды или включите файлы, которые хранятся отдельно, а затем поделитесь своим кодом, то секреты подписи не будут включены в общие файлы. Если вы храните секреты подписи или любую другую личную информацию в файлах, храните файлы за пределами дерева исходного кода вашего приложения, чтобы секреты подписи не попали в систему управления исходным кодом. Эта мера предосторожности особенно важна, если вы используете общедоступную систему управления исходным кодом, например GitHub.

Защитите свой ключ API в приложениях с помощью веб-сервисов

Храните ключи API вне исходного кода или дерева исходного кода вашего приложения . Если вы поместите свои ключи API или любую другую информацию в переменные среды или включите файлы, которые хранятся отдельно, а затем поделитесь своим кодом, ключи API не будут включены в общие файлы. Это особенно важно, если вы используете общедоступную систему управления исходным кодом, например GitHub.

Защитите свой ключ API и секрет подписи в мобильных приложениях с помощью веб-служб или статических веб-API.

Для защиты мобильных приложений используйте безопасное хранилище ключей или безопасный прокси-сервер:

• Храните ключ API или секрет подписи в безопасном хранилище ключей . Этот шаг усложняет сбор ключей API и других личных данных непосредственно из приложения.

• Используйте безопасный прокси-сервер . Прокси-сервер предоставляет надежный источник для взаимодействия с соответствующим API платформы Google Maps. Дополнительную информацию об использовании прокси-сервера см. в разделе «Замещающая жизнь: использование прокси-серверов с клиентскими библиотеками API данных Google» .

  • Создавайте запросы к платформе Google Maps на прокси-сервере. Не разрешайте клиентам ретранслировать произвольные вызовы API через прокси.

  • Выполните постобработку ответов платформы Google Maps на своем прокси-сервере. Отфильтруйте данные, которые не нужны клиенту.

Борьба с несанкционированным использованием ключа API

Если вы обнаружите несанкционированное использование вашего ключа API, выполните следующие действия для решения проблемы:

1. Ограничьте использование ключей . Если вы использовали один и тот же ключ в нескольких приложениях, перейдите на несколько ключей API и используйте отдельные ключи API для каждого приложения. Более подробную информацию см.:

   • Ограничьте свои ключи API
   • Переход на несколько ключей API
   • Используйте отдельные ключи API для каждого приложения.

2. Восстанавливайте ключи только в том случае, если вы не можете их ограничить. Прежде чем продолжить, прочтите раздел Будьте осторожны при повторном создании ключей API .

3. Если у вас по-прежнему возникают проблемы или вам нужна помощь, обратитесь в службу поддержки .

Рекомендуемые ограничения приложений и API

В следующих разделах предлагаются соответствующие ограничения приложений и API для каждого API, SDK или службы платформы Google Maps.

Рекомендуемые ограничения API

Следующие рекомендации по ограничениям API применяются ко всей платформе Google Maps:

• Ограничьте свой ключ API только теми API, для которых вы его используете, за следующими исключениями:

  • Если ваше приложение использует Places SDK для Android или Places SDK для iOS, авторизуйте Places API.

  • Если ваше приложение использует Maps JavaScript API, всегда авторизуйте его с помощью своего ключа.

  • Если вы также используете любую из следующих служб Maps JavaScript API, вам также следует авторизовать следующие API:

  Услуга	Ограничение API
  Служба маршрутов, API JavaScript Карт	API маршрутов
  Служба Distance Matrix, Maps JavaScript API	API матрицы расстояний
  Служба высот, JavaScript API Карт	API возвышения
  Служба геокодирования, Maps JavaScript API	API геокодирования
  Библиотека адресов, JavaScript API Карт	API мест

Некоторые примеры:

• Вы используете Maps SDK для Android и Places SDK для Android, поэтому включаете Maps SDK для Android и Places API в качестве ограничений API.

• На вашем веб-сайте используются служба повышения уровня Maps JavaScript API и Maps Static API, поэтому вы добавляете ограничения API для всех следующих API:

  • API JavaScript Карт
  • API возвышения
  • Статический API карт

Рекомендуемое применение Ограничение

Веб-сайты с Maps JavaScript API или Static Web API

Для веб-сайтов, использующих службы JavaScript Maps или статические веб-API, используйте ограничение для приложений Websites .

Используйте для веб-сайтов, использующих следующие службы JavaScript и API:

Служба маршрутов Дистанционная Матричная Служба Служба высотных работ Служба геокодирования

Карты JavaScript API 1 Библиотека мест Статический API карт 2 Статический API просмотра улиц 2

¹ Для мобильных приложений рассмотрите возможность использования встроенного Maps SDK для Android и Maps SDK для iOS .

² См. также раздел Защита мобильных приложений с помощью веб-службы или статических веб-API .

Веб-сайты с Maps Embed API

Хотя использование Maps Embed API является бесплатным, вам все равно следует ограничить использование любого используемого ключа API, чтобы предотвратить злоупотребление другими службами.

Рекомендации : создайте отдельный ключ API для использования Maps Embed API и ограничьте этот ключ только Maps Embed API. Это ограничение в достаточной степени защищает ключ, предотвращая его несанкционированное использование в любой другой службе Google.

Если вы не можете разделить использование Maps Embed API на отдельный ключ API, защитите свой ключ с помощью ограничения приложения Websites .

Приложения и серверы, использующие веб-сервисы

Для приложений и серверов, использующих веб-службы, используйте ограничение приложений по IP addresses .

Используйте для приложений и серверов, использующих эти API:

API проверки адреса API аэрофотоснимка API качества воздуха API маршрутов API матрицы расстояний API возвышения API геокодирования

API геолокации API плиток карты API мест 3 API дорог API маршрутов API пыльцы Солнечный API API часового пояса

^3. Для мобильных приложений рассмотрите возможность использования собственного Places SDK для Android и Places SDK для iOS .

Приложения для Android

Для приложений на Android используйте ограничение Android apps . Используйте для приложений и серверов, использующих эти SDK:

• SDK Карт для Android
• SDK Адресов для Android

Кроме того, предотвратите случайную проверку ключей API в системе контроля версий, используя плагин Secrets Gradle для внедрения секретов из локального файла, а не сохранения их в манифесте Android.

iOS-приложения

Для приложений на iOS используйте ограничение iOS apps . Используйте для приложений и серверов, использующих эти SDK:

• SDK Карт для iOS
• SDK Адресов для iOS

Связанная информация

• Оптимизируйте использование платформы Google Карт с помощью квот (видео)
• Как генерировать и ограничивать ключи API для платформы Google Maps (видео)
• Ограничение ключей API
• Защита ключей API при использовании статических карт и API просмотра улиц.
• 15 лучших практик платформы Google Maps