Orientación sobre seguridad en Google Maps Platform

Para las apps y los proyectos que usan las APIs y los SDKs de Google Maps Platform, tienes que utilizar claves de API o, si se admite, OAuth para evitar el uso no autorizado y los cargos relacionados. Si utilizas claves de API, restríngelas en el momento de crearlas para obtener la máxima seguridad. A continuación, presentamos las prácticas recomendadas para aplicar dichas restricciones.

Además de aplicar restricciones de clave de API y de aplicación, sigue las prácticas de seguridad que correspondan a los productos específicos de Google Maps Platform. Por ejemplo, consulta las sugerencias para la API de Maps JavaScript en la sección Restricciones de API y de aplicación recomendadas.

Si tus claves de API ya se encuentran en uso, revisa las sugerencias incluidas en la sección Recomendaciones para restringir o volver a generar una clave de API que ya se encuentra en uso.

Para obtener más detalles sobre las firmas digitales, consulta la Guía sobre firmas digitales.

Prácticas recomendadas

Para mejorar la seguridad y evitar que se facturen cargos por uso no autorizado, sigue estas prácticas recomendadas sobre la seguridad de las APIs para todos los servicios, los SDKs y las APIs de Google Maps Platform:

Recomendaciones para todos los usos de claves de API

Restringe tus claves de API

Utiliza claves de API diferentes para cada app

Borra las claves de API sin usar

Revisa el uso de tu clave de API

Ten cuidado cuando vuelvas a generar tus claves de API

Recomendaciones adicionales para los sitios web que usan APIs web estáticas

Protege las apps que usan APIs web estáticas

Recomendaciones adicionales para las apps que usan servicios web

Protege las apps que usan servicios web

Recomendaciones adicionales para las aplicaciones para dispositivos móviles para iOS y Android

Protege las apps para dispositivos móviles que usan servicios web o APIs web estáticas

Recomendaciones para restringir o volver a generar una clave de API que ya se encuentra en uso

• Antes de cambiar la clave de API, revisa el uso de tu clave de API. Este paso es particularmente importante si deseas agregar restricciones a una clave que ya se encuentra en uso.

• Después de cambiar la clave, actualiza todas tus apps con las nuevas claves de API según sea necesario.

• Si no hay ningún abuso activo de tu clave de API, podrás migrar tus apps a múltiples claves de API nuevas a tu ritmo y dejar la clave de API original intacta hasta que solo veas un tipo de tráfico. Entonces, podrás restringir las claves de API a ese tipo de tráfico con una restricción de aplicaciones. Para obtener más instrucciones, consulta Migra a varias claves de API.

  Supervisa el uso a lo largo del tiempo y verifica qué APIs, tipos de plataformas y dominios específicos se migraron desde la clave de API original antes de restringirla o borrarla. Para obtener más información, consulta Informes y Monitoring y Métricas.

• Si hackearon tu clave de API, te recomendamos que actúes con mayor rapidez para resguardarla y detener el abuso. En las apps para iOS y Android, las claves solo se reemplazan cuando los clientes actualizan sus apps. Actualizar o reemplazar las claves en las apps de JavaScript o de servicios web es mucho más sencillo, pero, de todas formas, puede que sea necesario planificarlo con cuidado y actuar rápidamente.

  Para obtener más información, consulta Qué hacer frente a un uso no autorizado de una clave de API.

Restringe tus claves de API

Recomendamos restringir siempre las claves de API con una restricción de aplicaciones y una o varias restricciones de API. Para ver las restricciones recomendadas por API, SDK o servicio de JavaScript, consulta la sección Restricciones de API y de aplicación recomendadas más adelante.

• Restricción de aplicaciones: Puedes limitar el uso de una clave de API a plataformas específicas, por ejemplo, a aplicaciones para Android o iOS; a sitios web específicos para las aplicaciones del cliente; a direcciones IP específicas, o a subredes de CIDR para las apps del servidor que realizan llamadas a la API de REST del servicio web.

  Para restringir una clave, debes agregar una o varias restricciones de aplicaciones correspondientes a los tipos que deseas autorizar, y, luego, solo se permitirán las solicitudes que provengan de esas fuentes.

• Restricciones de API: Puedes restringir las APIs, los SDKs o los servicios de Google Maps Platform en los que se podrá usar tu clave de API. Las restricciones de API solo autorizan las solicitudes a las APIs y los SDKs que especifiques. Para cada clave de API, puedes especificar tantas restricciones de API como sean necesarias. La lista de APIs disponibles incluye todas las APIs habilitadas en un proyecto.

Cómo establecer una restricción de aplicaciones para una clave de API

1. Abre la página Credenciales de Google Maps Platform en la consola de Google Cloud.

2. Selecciona la clave de API que desees restringir.

3. En la página Editar clave de API (Edit API key), debajo de Restricciones de clave (Key restrictions), selecciona Establece una restricción de aplicaciones (Set an application restriction).

   

4. Selecciona uno de los tipos de restricción y proporciona la información solicitada en la lista de restricciones siguiente.

   Tipo de restricción	Descripción
   Sitios web	Especifica uno o más sitios web de referencia. Los esquemas de URI de referencia admitidos universalmente son https y http. Siempre proporciona el URI de referencia completo, incluidos el esquema de protocolos, el nombre de host y el puerto opcional (p. ej., https://google.com). Puedes utilizar caracteres comodines para autorizar todos los subdominios. Por ejemplo, https://*.google.com acepta todos los sitios que terminan en .google.com. Ten en cuenta que, si especificas el sitio www.domain.com, este actuará como el comodín www.domain.com/* y autorizará cualquier subruta de ese nombre de host. Ten cuidado cuando autorices URLs de referencia de ruta completa, como https://google.com/some/path, ya que, de forma predeterminada, la mayoría de los navegadores actuales quitan la ruta de las solicitudes de origen cruzado.
   Direcciones IP	Especifica una o varias direcciones IPv4 o IPv6, o bien subredes que utilicen notación CIDR. Las direcciones IP deben coincidir con la dirección de origen que observan los servidores de Google Maps Platform. Si utilizas la traducción de direcciones de red (NAT), esta dirección suele coincidir con la dirección IP pública de tu equipo.
   Apps para Android	Agrega el nombre del paquete de Android (del archivo AndroidManifest.xml) y la huella digital del certificado de firma SHA-1 de cada aplicación para Android que deseas autorizar. Si usas la firma de apps de Play, para recuperar la huella digital del certificado de firma, consulta Cómo trabajar con proveedores de API. Si administras tu propia clave de firma, consulta Cómo autofirmar tu aplicación o las instrucciones para tu entorno de compilación.
   Apps para iOS	Agrega el identificador de paquete de cada aplicación para iOS que desees autorizar.

   Consulta Restricción de aplicación recomendada para obtener recomendaciones al respecto.

5. Selecciona Guardar.

Cómo establecer restricciones de API para una clave de API

1. Abre la página Credenciales de Google Maps Platform en la consola de Google Cloud.

2. Selecciona la clave de API que desees restringir.

3. En la página Editar clave de API (Edit API key), debajo de Restricciones de API (API restrictions), haz lo siguiente:

   • Selecciona Restringir clave (Restrict key).

   • Abre el menú Seleccionar APIs (Select APIs) y selecciona las APIs o los SDKs a los que deseas que tu aplicación acceda con la clave de API.

     Si una API o un SDK no aparecen en la lista, debes habilitarlos. Para obtener información detallada, consulta los pasos para habilitar APIs o SDKs.

   

4. Selecciona Guardar.

   La restricción pasa a formar parte de la definición de la clave de API después de este paso. Asegúrate de proporcionar los detalles necesarios y selecciona Guardar (Save) para guardar tus restricciones de la clave de API. Para obtener más información, consulta la guía Cómo obtener una clave de API en la documentación sobre la API o el SDK específicos de tu interés.

Para ver las recomendaciones de restricciones de API, consulta Restricciones de API recomendadas.

Revisa el uso de tu clave de API

Si deseas restringir claves de API ya creadas o consultar las APIs que usa una clave determinada para restringirlas, revisa el uso de tu clave de API. Con estos pasos, podrás ver en qué servicios y métodos de API se usa una clave de API. Si detectas algún uso más allá de los servicios de Google Maps Platform, investiga el caso para determinar si necesitas agregar más restricciones y, así, evitar el uso no deseado. Puedes utilizar el Explorador de métricas de la consola de Cloud, en Google Maps Platform, para determinar qué restricciones de API y de aplicaciones debe tener tu clave de API:

• Determina qué APIs usan tu clave de API

• Elige el tipo correcto de restricción de aplicaciones con el Explorador de métricas

Determina qué APIs usan tu clave de API

Los siguientes informes de métricas te permiten determinar qué APIs usan tus claves de API. Úsalos para lo siguiente:

• Consultar cómo se usan tus claves de API
• Puedes identificar los usos no esperados.
• Verificar si es seguro borrar una clave sin usar (para obtener información sobre cómo borrar una clave de API, consulta Cómo borrar claves de API sin usar)

Cuando apliques restricciones de API, usa estos informes para crear una lista de APIs para autorizar, o bien para validar las recomendaciones de restricción de clave de API generadas automáticamente. Si deseas obtener más información sobre las restricciones recomendadas, consulta Aplica las restricciones recomendadas. Para obtener más información sobre cómo usar el Explorador de métricas, consulta Crea gráficos con el Explorador de métricas.

1. Ve al Explorador de métricas en la consola de Google Cloud.

2. Accede a tu cuenta y selecciona el proyecto cuyas claves de API desees revisar.

3. Ve a la página del Explorador de métricas correspondiente a tu tipo de API:

   • Para las claves de API que se usan en cualquier API, excepto la API de Maps Embed, ve a la página Explorador de métricas.

   • Para las claves de API que se usan en la API de Maps Embed, ve al Explorador de métricas.

4. Inspecciona cada clave de API:

   1. Selecciona AGREGAR FILTRO.

   2. Selecciona la etiqueta credential_id.

   3. Selecciona el valor correspondiente a la clave que deseas inspeccionar.

   4. Observa en qué APIs se usa esta clave de API y confirma si el uso es el esperado.

   5. Luego, selecciona Quitar filtro delete al final de la línea del filtro activo para borrar el filtro adicional.

5. Repite el proceso para las demás claves.

6. Restringe tus claves de API únicamente a las APIs que se usan.

7. Si detectas un uso no autorizado, consulta Cómo responder al uso no autorizado de una clave de API.

Elige el tipo correcto de restricción de aplicación con el Explorador de métricas

Una vez que hayas verificado el uso de tu clave de API y tomado las medidas necesarias para garantizar que solo se use para los servicios de Google Maps Platform correspondientes, asegúrate también de que la clave de API cuente con las restricciones de aplicaciones adecuadas.

Si tu clave de API tiene restricciones recomendadas, aplícalas. Para obtener más información, consulta Aplica las restricciones de clave de API recomendadas.

Si tu clave de API no tiene restricciones recomendadas, determina el tipo de restricción de aplicaciones que deberías aplicar según el platform_type informado en el Explorador de métricas:

1. Ve al Explorador de métricas en la consola de Google Cloud.

2. Accede a tu cuenta y selecciona el proyecto cuyas APIs desees revisar.

3. Ve a la página del Explorador de métricas.

4. Inspecciona cada clave de API:

   1. Selecciona AGREGAR FILTRO.

   2. Selecciona la etiqueta credential_id.

   3. Selecciona el valor correspondiente a la clave que deseas inspeccionar.

   4. Luego, selecciona Quitar filtro delete al final de la línea del filtro activo para borrar el filtro adicional.

5. Repite el proceso para las demás claves.

6. Una vez que hayas determinado el tipo de plataforma de tus claves de API, aplica las restricciones de aplicaciones correspondientes a ese platform_type:

   PLATFORM_TYPE_JS

   Aplica restricciones de sitios web en la clave.

   PLATFORM_TYPE_ANDROID

   Aplica restricciones de aplicaciones para Android en la clave.

   PLATFORM_TYPE_IOS

   Aplica restricciones de aplicaciones para iOS en la clave.

   PLATFORM_TYPE_WEBSERVICE

   Es posible que debas utilizar restricciones de dirección IP en la clave para restringirla de manera adecuada. Si deseas conocer más opciones para las APIs de Maps Static y Street View Static, consulta Protege las apps que utilizan APIs web estáticas. Para obtener más instrucciones referidas a la API de Maps Embed, consulta Sitios web que usan la API de Maps Embed.

   Mi clave de API usa varios tipos de plataformas

   No puedes asegurar tu tráfico de manera adecuada con una sola clave de API. Debes migrar a varias claves de API. Para obtener más información, consulta Migra a varias claves de API.

Utiliza claves de API diferentes para cada app

Esta práctica limita el alcance de cada clave. Si se vulneró una clave de API, puedes borrarla o volver a generarla sin necesidad de actualizar tus otras claves de API. Puedes crear hasta 300 claves de API por proyecto. Para obtener más información, consulta Límites para las claves de API.

Si bien utilizar una clave de API por aplicación es ideal para lograr un nivel de seguridad adecuado, puedes utilizar claves restringidas en varias apps siempre que estas utilicen el mismo tipo de restricción de aplicaciones.

Aplica las restricciones de clave de API recomendadas

La consola de Google Cloud sugiere a algunos editores y propietarios de proyectos que apliquen restricciones de clave de API específicas para claves de API no restringidas en función de su actividad y uso de Google Maps Platform.

Si hay recomendaciones disponibles, estas se muestran como opciones preestablecidas en la página Credenciales de Google Maps Platform.

Motivos por los que podrías no ver una recomendación o esta podría mostrarse incompleta

• Usas (también) la clave de API en otros servicios que no son los de Google Maps Platform. Si ves uso en otros servicios, no apliques la recomendación sin hacer primero lo siguiente:

  1. Verifica que el uso de la API que ves en el Explorador de métricas de la consola de Google Cloud sea legítimo.

  2. De forma manual, agrega los servicios que falten en la lista de APIs que deben autorizarse.

  3. De forma manual, agrega las restricciones de aplicaciones que falten para los servicios añadidos a la lista de APIs. Si los servicios que agregaste requiriesen un tipo diferente de restricciones de aplicaciones, consulta Migra a varias claves de API.

• Tu clave de API no se usa en SDKs o APIs del cliente.

• Usas la clave de API en un sitio web o una app de bajo volumen que no han tenido uso en los últimos 60 días.

• Creaste una clave nueva hace muy poco o recientemente implementaste una clave existente en una app nueva. Si este es el caso, solo espera algunos días más para que las recomendaciones se actualicen.

• Usas la clave de API en varias aplicaciones que requerirían tipos de restricciones de aplicaciones contradictoriaso usas la misma clave de API en demasiadas apps o sitios web diferentes. Cualquiera sea el caso, la práctica recomendada sería que migres a varias claves. Para obtener más detalles, consulta Migra a varias claves de API.

Motivos por los que podrías ver recomendaciones que no se muestran en los gráficos

• Tu app o sitio web enviaron solo aumentos de actividad de tráfico muy breves. En este caso, cambia de una vista de GRÁFICO a una de TABLA o elige AMBOS tipos de visualización, ya que el uso se sigue viendo en la leyenda. Para obtener más información, consulta Cómo mostrar y ocultar las leyendas del gráfico.

• Tu tráfico proviene de la API de Maps Embed. Para obtener más instrucciones, consulta Determina qué APIs utilizan tu clave de API.

• El tráfico de la app o el sitio web está fuera del período disponible en el Explorador de métricas de la consola de Google Cloud.

Cómo aplicar las restricciones recomendadas

1. Abre la página Credenciales de Google Maps Platform en la consola de Google Cloud.

2. Selecciona Aplicar restricciones recomendadas (Apply recommended restrictions) si se encuentra disponible.

   

   Nota: Si no ves restricciones recomendadas, consulta Cómo establecer una restricción de API para una clave de API para establecer las restricciones adecuadas.

3. Selecciona Comprobar el uso de la API para verificar en qué servicios se usa la clave de API. Si ves otros servicios diferentes de los de Google Maps Platform, detente y revisa manualmente los pasos indicados arriba para las recomendaciones. Consulta los pasos para solucionar problemas al comienzo de la sección Aplica las restricciones de clave de API recomendadas.

4. Verifica nuevamente que las restricciones preestablecidas coincidan con los sitios web y las apps en los que deseas usar tu clave de API.

   Práctica recomendada: Toma nota de cualquier restricción de aplicaciones o de API que no se encuentre afiliada con tus servicios y, luego, quítala. Si se produce algún error debido a una dependencia inesperada, podrás agregar nuevamente las apps o las APIs requeridas.

   • Si reconoces que una app, un sitio web o una API claramente faltan en tu recomendación, agrégalos manualmente o espera un par de días para que la recomendación se actualice.

   • Si necesitas más ayuda con tu recomendación sugerida, comunícate con el equipo de asistencia.

5. Selecciona Aplicar.

Qué debes hacer si se rechaza tu aplicación después de implementar una recomendación

Si notas que una app o un sitio web se rechaza después de aplicar una restricción, busca la restricción de aplicaciones que debes agregar en el mensaje de error que aparece en la respuesta de la API.

A continuación, se brindan indicaciones para los SDKs del cliente:

• Apps de la API de Maps JavaScript: consulta la consola de depuración del navegador.
• Apps para Android: usa Android Debug Bridge (adb) o Logcat.
• Apps para iOS: consulta Viewing Log Messages (Cómo ver los mensajes de registro).

Para verificar las restricciones que debería tener tu API, consulta Determina qué APIs utilizan tu clave de API.

Si no puedes determinar qué restricciones debes aplicar:

1. Documenta las restricciones actuales para poder consultarlas en el futuro.
2. Quítalas de forma temporal mientras investigas el problema. Utiliza los pasos detallados en la sección Revisa el uso de tu clave de API para comprobar el uso que haces de la clave a lo largo del tiempo.
3. Si lo necesitas, comunícate con el equipo de asistencia.

Borra las claves de API sin usar

Antes de borrar una clave de API, asegúrate de que no se use en producción. Si el tráfico que genera no es adecuado, es probable que sea seguro borrar la clave. Para obtener más información, consulta la sección Revisa el uso de tu clave de API.

Para borrar una clave de API, haz lo siguiente:

1. Abre la página Credenciales de Google Maps Platform en la consola de Google Cloud.

2. Selecciona la clave de API que desees borrar.

3. Selecciona el botón Borrar ubicado cerca de la parte superior de la página.

4. En la página Borrar credencial, selecciona Borrar.

   Borrar una clave de API por completo demora algunos minutos. Una vez que finalice este proceso, el tráfico que use la clave de API borrada se rechazará.

Ten cuidado cuando vuelvas a generar tus claves de API

Si vuelves a generar una clave de API, se crea una clave nueva con todas las restricciones de la clave anterior. A su vez, este proceso inicia un temporizador de 24 horas después de las cuales se borra la clave de API anterior.

Durante este período, se aceptan la clave anterior y la nueva, lo que te brinda la posibilidad de migrar tus apps para que usen la clave nueva. Sin embargo, una vez cumplido el plazo, las apps que utilicen la clave de API anterior dejarán de funcionar.

Antes de volver a generar una clave de API, haz lo siguiente:

• Primero, intenta restringir tus claves de API como se indica en la sección Restringe tus claves de API.

• Si restringir tu clave de API no es posible debido a conflictos en los tipos de restricción de aplicaciones, migra a varias claves nuevas (restringidas), tal como se indica en la sección Migra a varias claves de API. Este proceso te permite controlar el cronograma de migración y lanzamiento de las nuevas claves de API.

Si no resulta posible aplicar las sugerencias antes mencionadas y debes volver a generar tu clave de API para evitar un uso no autorizado, entonces, haz lo siguiente:

1. Abre la página Credenciales de Google Maps Platform en la consola de Google Cloud.

2. Abre la clave de API que desees volver a generar.

3. En la parte superior de la página, selecciona Volver a generar clave.

4. Selecciona Reemplazar clave.

Nota: Si es necesario, puedes revertir a su versión anterior cualquier clave que hayas vuelto a generar. No hay límites para este proceso.

Pasos para revertir una clave que hayas vuelto a generar

1. Abre la página Credenciales de Google Maps Platform en la consola de Google Cloud.

2. Abre la clave de API que desees revertir.

3. Selecciona Revert to previous key.

4. En el diálogo Revertir, selecciona Revertir clave.

Al realizar este proceso, la versión de la clave que antes era "nueva" se convierte en la versión anterior, y se configura un nuevo temporizador de desactivación de 24 horas. Puedes revertir estos dos valores de la clave entre sí hasta que vuelvas a generarla.

Si vuelves a generar la clave, esta reemplaza el valor de clave inactivo anterior.

Cómo migrar a varias claves de API

Si deseas migrar de usar una clave de API para varias apps a una única clave de API para cada app, haz lo siguiente:

1. Identifica qué apps necesitan claves nuevas:

   • Las apps web son las más fáciles de actualizar, ya que tienes control sobre todo el código. Planifica la actualización de todas tus claves de apps basadas en la Web.
   • El proceso de las apps para dispositivos móviles es mucho más complejo, ya que los clientes deben actualizar sus apps para que se puedan usar las claves nuevas.

2. Crea y restringe las claves nuevas: Agrega una restricción de aplicaciones y, al menos, una de API. Para obtener más información, consulta las Prácticas recomendadas.

3. Agrega claves nuevas a tus apps: En las apps para dispositivos móviles, este proceso puede demorar meses, ya que requiere que todos los usuarios actualicen la versión de la app a la más reciente, que tiene la nueva clave de API.

Protege las apps que utilizan APIs web estáticas

Las APIs web estáticas, como la API de Maps Static y la de Street View Static, funcionan de forma muy similar a las llamadas a las APIs de servicios web.

En ambos casos, para completar la llamada, necesitas usar una API de REST HTTPS simple y, por lo general, la URL de la solicitud a la API se genera en el servidor. Sin embargo, en lugar de devolver una respuesta JSON, las APIs web estáticas generan una imagen que puedes incorporar en un código HTML existente. Y lo más importante es que, normalmente, es el cliente (usuario final) y no el servidor quien llama al servicio de Google Maps Platform.

Usa una firma digital

Te recomendamos que siempre utilices firmas digitales además de claves de API. Además, revisa cuántas solicitudes sin firmar deseas permitir por día y ajusta tus cuotas de solicitudes no firmadas en función de ello.

Para obtener más detalles sobre las firmas digitales, consulta la Guía sobre firmas digitales.

Protege tu secreto de firma

Para proteger las APIs web estáticas, no incorpores tus secretos de firma de API directamente en el código o en el árbol de código fuente, ni los expongas en aplicaciones del cliente. Sigue estas prácticas recomendadas para proteger tus secretos de firma:

• Firma tus aplicaciones del lado del servidor, no del cliente. Si implementas la firma del lado del cliente en JavaScript, la expones a cualquier usuario que visite el sitio. Por lo tanto, para las imágenes generadas de forma dinámica, siempre genera las URLs de las solicitudes firmadas a las APIs de Maps Static y Street View Static del lado del servidor cuando publiques una página web. Para el contenido web estático, puedes utilizar el widget Firmar una URL ahora en la página Credenciales de Google Maps Platform, en la consola de Cloud.

• Almacena los secretos de firma fuera del código fuente y el árbol fuente de tu aplicación. Si colocas tus secretos de firma o cualquier otra información privada en variables de entorno, o bien si incluyes archivos que se encuentran almacenados por separado y, luego, compartes tu código, los secretos de firma no se incluirán en los archivos compartidos. Si almacenas secretos de firma o cualquier otra información privada en archivos, mantenlos fuera del árbol fuente de tu aplicación para queden fuera del sistema de control del código fuente. Esta precaución es particularmente importante si usas un sistema de administración de código fuente público, como GitHub.

Protege tu clave de API en las apps que usan servicios web

Almacena las claves de API fuera del código fuente o el árbol fuente de tu aplicación. Si colocas tus claves de API o cualquier otra información privada en variables de entorno, o bien si incluyes archivos que se encuentran almacenados por separado y, luego, compartes tu código, las claves de API no se incluirán en los archivos compartidos. Esto es particularmente importante si usas un sistema de administración de código fuente público, como GitHub.

Protege tu clave de API y tu secreto de firma en las apps para dispositivos móviles que usan servicios web o APIs web estáticas

Para proteger tus apps para dispositivos móviles, usa un almacén de claves o un servidor proxy seguros:

• Almacena la clave de API o el secreto de firma en un almacén de claves seguro. Esto ayuda a impedir el scraping de claves de API y otros datos privados de la aplicación.

• Usa un servidor proxy seguro. Esto brinda una fuente sólida para interactuar con la API de Google Maps Platform adecuada. Para obtener más información sobre cómo usar un servidor proxy, consulta el artículo Vivir a través de otro: Cómo usar servidores proxy con las bibliotecas cliente de las APIs de datos de Google.

  • Crea tus solicitudes a Google Maps Platform en el servidor proxy. No permitas que los clientes retransmitan llamadas a la API a través del proxy.

  • Aplica post-procesamiento a las respuestas de Google Maps Platform en tu servidor proxy. Excluye los datos que el cliente no necesita.

Qué hacer frente a un uso no autorizado de una clave de API

Si identificas un uso no autorizado de tu clave de API, haz lo siguiente para resolver el problema:

1. Restringe tus claves: Si utilizaste la misma clave en varias apps, migra a varias claves de API y utiliza claves de API diferentes para cada app. Para obtener más detalles, consulta los siguientes recursos:

   • Restringe tus claves de API
   • Cómo migrar a varias claves de API
   • Utiliza claves de API diferentes para cada app

2. Solo vuelve a generar una clave si no puedes restringirla. Lee la sección Ten cuidado cuando vuelvas a generar claves de API antes de proceder.

3. Si aún tienes problemas o necesitas ayuda, comunícate con el equipo de asistencia.

Restricciones de API y de aplicación recomendadas

En las siguientes secciones, encontrarás recomendaciones de restricciones de APIs y de aplicaciones para cada API, SDK o servicio de Google Maps Platform.

Restricciones de API recomendadas

Los siguientes lineamientos para las restricciones de API se aplican a todos los servicios de Google Maps Platform:

• Restringe tu clave de API únicamente a las APIs donde la utilizas, salvo en los siguientes casos:

  • Si tu app usa el SDK de Places para Android o el SDK de Places para iOS, autoriza la API de Places.

  • Si tu app usa la API de Maps JavaScript, autoriza esta API siempre en tu clave.

  • Si también utilizas alguno de los siguientes servicios de la API de Maps JavaScript, además, deberás autorizar las siguientes APIs:

  Servicio	Restricción de API
  Servicio Directions de la API de Maps JavaScript	API de Directions
  Servicio Distance Matrix de la API de Maps JavaScript	API de Distance Matrix
  Servicio Elevation de la API de Maps JavaScript	API de Elevation
  Servicio Geocoding de la API de Maps JavaScript	API de Geocoding
  Biblioteca de Places de la API de Maps JavaScript	API de Places

Estos son algunos ejemplos:

• Dado que usas el SDK de Maps para Android y el SDK de Places para Android, decides incluir el SDK de Maps para Android y la API de Places como restricciones de API.

• Tu sitio web usa el servicio Elevation de la API de Maps JavaScript y la API de Maps Static; por lo tanto, agregas restricciones de API para las siguientes APIs:

  • API de Maps JavaScript
  • API de Elevation
  • API de Maps Static

Restricción de aplicación recomendada

Sitios web que usan la API de Maps JavaScript o una API web estática

Para los sitios web que usan servicios de Maps JavaScript o APIs web estáticas, utiliza la restricción de aplicación de Websites.

Puedes aplicarla a los sitios web que usen estas APIs o servicios de JavaScript:

Servicio Directions Servicio Distance Matrix Servicio Elevation Servicio Geocoding

API de Maps JavaScript1 Biblioteca de Places API de Maps Static2 API de Street View Static2

¹ En el caso de las aplicaciones para dispositivos móviles, considera usar el SDK de Maps para Android y el SDK de Maps para iOS nativos.

² Consulta también Protege las apps para dispositivos móviles que utilizan servicios web o APIs web estáticas.

Sitios web que usan la API de Maps Embed

Aunque utilizar la API de Maps Embed no tiene costo, de todas formas debes evitar los abusos en otros servicios restringiendo cualquier clave de API que se use.

Práctica recomendada: Crea una clave de API diferente para usar en la API de Maps Embed y restríngela únicamente a esa API. Esta restricción permite proteger la clave y, así, evitar el uso no autorizado en cualquier otro servicio de Google.

Si no puedes separar el uso de tu API de Maps Embed con una clave de API diferente, protege la clave con una restricción de aplicaciones Websites.

Apps y servidores que usan servicios web

Para las apps y los servidores que usan servicios web, utiliza la restricción de aplicación de IP addresses.

Aplica esta restricción a las apps y los servidores que usen estas APIs:

API de Address Validation API de Aerial View API de Air Quality API de Directions API de Distance Matrix API de Elevation API de Geocoding

API de Geolocation API de Map Tiles API de Places3 API de Roads API de Routes API de Pollen API de Solar API de Time Zone

³ En las aplicaciones para dispositivos móviles, considera utilizar el SDK de Places para Android y el SDK de Places para iOS.

Apps para Android

En las apps para Android, usa la restricción de aplicaciones Android apps. Aplica esta restricción a las apps y los servidores que usen estos SDKs:

• SDK de Maps para Android
• SDK de Places para Android

Además, para evitar incluir por error las claves de API en el control de versión, utiliza el complemento Secrets Gradle para insertar secretos a partir de un archivo local, en lugar de almacenarlos en el manifiesto de Android.

Apps para iOS

En las apps para iOS, usa la restricción de aplicaciones iOS apps. Aplica esta restricción a las apps y los servidores que usen estos SDKs:

• SDK de Maps para iOS
• SDK de Places para iOS

Información relacionada

• Optimiza el uso de Google Maps Platform por medio de cuotas (video)
• Cómo generar y restringir claves de API para Google Maps Platform (video)
• Cómo restringir las claves de API
• Cómo proteger las claves de API cuando se usan las APIs de Static Maps y de Street View
• 15 prácticas recomendadas para Google Maps Platform