คำแนะนำด้านความปลอดภัยของ Google Maps Platform

สำหรับแอปและโปรเจ็กต์ที่ใช้ Google Maps Platform API และ SDK คุณจะ ต้องใช้คีย์ API หรือหากรองรับ OAuth ก็เพื่อป้องกันการใช้งานที่ไม่ได้รับอนุญาตและ หากใช้คีย์ API ให้จำกัดคีย์ API เพื่อความปลอดภัยสูงสุดเมื่อ ที่คุณสร้าง แนวทางปฏิบัติแนะนำเหล่านี้แสดงวิธีการจำกัดเนื้อหา

นอกจากการใช้ข้อจำกัดแอปพลิเคชันและคีย์ API แล้ว โปรดปฏิบัติตาม แนวทางปฏิบัติด้านความปลอดภัยที่ใช้กับผลิตภัณฑ์ Google Maps Platform บางอย่าง ตัวอย่างเช่น ดู Maps JavaScript API ด้านล่างใน ข้อจำกัดเกี่ยวกับแอปพลิเคชันและ API ที่แนะนำ

หากใช้คีย์ API อยู่แล้ว โปรดดูคำแนะนำด้านล่างใน หากคุณกำลังจำกัดหรือสร้างคีย์ API ที่ใช้งานอยู่อีกครั้ง

โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับลายเซ็นดิจิทัลที่ คู่มือลายเซ็นดิจิทัล

แนวทางปฏิบัติแนะนำ

เพื่อเพิ่มความปลอดภัยและหลีกเลี่ยงไม่ให้มีการเรียกเก็บเงินสำหรับการใช้งานที่ไม่ได้รับอนุญาต โปรดทำตาม แนวทางปฏิบัติแนะนำด้านความปลอดภัยของ API เหล่านี้สำหรับ Google Maps Platform API, SDK ทั้งหมด หรือ บริการ:

จำกัดคีย์ API

ใช้คีย์ API แยกกันสำหรับแต่ละแอป

ลบคีย์ API ที่ไม่ได้ใช้

ตรวจสอบการใช้งานคีย์ API

โปรดใช้ความระมัดระวังเมื่อสร้างคีย์ API ใหม่

คำแนะนำเพิ่มเติมสำหรับเว็บไซต์ที่ใช้ Static Web API

ปกป้องแอปโดยใช้ Web API แบบคงที่

คำแนะนำเพิ่มเติมสำหรับแอปที่ใช้บริการเว็บ

ปกป้องแอปโดยใช้บริการเว็บ

คำแนะนำเพิ่มเติมสำหรับแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ iOS และ Android

ปกป้องแอปบนอุปกรณ์เคลื่อนที่โดยใช้บริการเว็บหรือ Web API แบบคงที่

หากคุณกำลังจำกัดหรือสร้างคีย์ API ที่ใช้งานอยู่อีกครั้ง

  • ก่อนเปลี่ยนคีย์ API ให้ตรวจสอบการใช้งานคีย์ API ขั้นตอนนี้สำคัญอย่างยิ่งหากคุณเพิ่มข้อจำกัดหลังคีย์ มีการใช้งาน

  • หลังจากเปลี่ยนคีย์แล้ว ให้อัปเดตแอปทั้งหมดด้วยคีย์ API ใหม่ ดังนี้ ที่จำเป็น

  • หากไม่มีการละเมิดคีย์ API อยู่ คุณจะย้ายข้อมูลแอปไปยัง คีย์ API ใหม่หลายรายการตามต้องการ โดยปล่อยคีย์ API เดิมไว้โดยไม่มีการเปลี่ยนแปลง จนกว่าคุณจะเห็นการเข้าชมเพียงประเภทเดียว ซึ่งคุณสามารถจำกัด API ได้ ที่มีข้อจำกัดของแอปพลิเคชัน ดูคำแนะนำเพิ่มเติมได้ที่ ย้ายข้อมูลไปยังคีย์ API หลายรายการ

    ตรวจสอบการใช้งานเมื่อเวลาผ่านไป และดูว่าเมื่อใด API, ประเภทแพลตฟอร์ม และ โดเมนได้ย้ายข้อมูลออกจากคีย์ API เดิมแล้ว ก่อนที่คุณจะเลือกที่จะจำกัดหรือ ลบคีย์เก่า สำหรับข้อมูลเพิ่มเติม โปรดดู การรายงานและการตรวจสอบ และ เมตริก

  • หากคีย์ API ถูกบุกรุก คุณควรดำเนินการรักษาความปลอดภัยให้เร็วขึ้น คีย์ API และหยุดการละเมิด ไม่มีการแทนที่คีย์ในแอป Android และ iOS จนกว่าลูกค้าจะอัปเดตแอป การอัปเดตหรือการแทนที่คีย์ใน JavaScript หรือ แอปของบริการเว็บนั้นทำได้ง่ายกว่ามาก แต่ก็อาจต้องมี การวางแผนอย่างรอบคอบและการทำงานที่รวดเร็ว

    สำหรับข้อมูลเพิ่มเติม โปรดดู จัดการการใช้คีย์ API โดยไม่ได้รับอนุญาต

จำกัดคีย์ API

แนวทางปฏิบัติแนะนำคือให้จำกัดคีย์ API ด้วยแอปพลิเคชันเสมอ และข้อจำกัด API อย่างน้อย 1 ข้อ สําหรับข้อจํากัดที่แนะนําโดย API SDK หรือบริการ JavaScript โปรดดู ข้อจำกัดเกี่ยวกับแอปพลิเคชันและ API ที่แนะนำด้านล่าง

  • การจำกัดแอปพลิเคชัน คุณจำกัดการใช้คีย์ API ไว้สำหรับ แพลตฟอร์ม: แอปพลิเคชัน Android หรือ iOS หรือเว็บไซต์ที่เฉพาะเจาะจงสำหรับฝั่งไคลเอ็นต์ หรือที่อยู่ IP เฉพาะ หรือซับเน็ต CIDR สำหรับแอปฝั่งเซิร์ฟเวอร์ การออกการเรียก REST API ของบริการเว็บ

    คุณจำกัดคีย์ได้ด้วยการเพิ่มการจำกัดแอปพลิเคชันของประเภทอย่างน้อย 1 รายการ ที่คุณต้องการให้สิทธิ์ ซึ่งหลังจากนั้นจะมีเฉพาะคำขอที่มาจาก แหล่งที่มาที่ได้รับอนุญาต

  • ข้อจำกัด API คุณสามารถจำกัด Google Maps Platform API SDK หรือบริการที่ใช้คีย์ API ได้ การจำกัด API เท่านั้น อนุญาตคำขอไปยัง API และ SDK ที่คุณระบุ สำหรับคีย์ API หนึ่งๆ คุณสามารถ สามารถระบุข้อจำกัด API ได้มากเท่าที่ต้องการ รายการ API ที่ใช้ได้ มี API ทั้งหมดที่เปิดใช้ในโปรเจ็กต์

ตั้งค่าการจำกัดแอปพลิเคชันสำหรับคีย์ API

  1. เปิดคอนโซล Google Cloud ข้อมูลเข้าสู่ระบบ Google Maps Platform

  2. เลือกคีย์ API ที่ต้องการจำกัด

  3. ในหน้าแก้ไขคีย์ API ในส่วนข้อจำกัดของคีย์ ให้เลือก ตั้งค่าการจำกัดแอปพลิเคชัน

    แก้ไขหน้าคีย์ API

  4. เลือกประเภทข้อจำกัดอย่างใดอย่างหนึ่งและระบุข้อมูลที่ขอ ตามรายการข้อจำกัด

    ประเภทข้อจำกัด คำอธิบาย
    เว็บไซต์ ระบุเว็บไซต์อ้างอิงอย่างน้อย 1 เว็บไซต์
    • รูปแบบ URI ผู้อ้างอิงที่รองรับทั่วโลก https และ http
    • ระบุ URI ผู้อ้างอิงแบบเต็มเสมอ ซึ่งรวมถึง รูปแบบโปรโตคอล ชื่อโฮสต์ และพอร์ตที่ไม่บังคับ (เช่น https://google.com)
    • คุณสามารถใช้อักขระไวลด์การ์ดเพื่อให้สิทธิ์โดเมนย่อยทั้งหมดได้ สำหรับ ตัวอย่างเช่น https://*.google.com ยอมรับไซต์ทั้งหมดที่ลงท้ายด้วย ใน .google.com โปรดทราบว่าหากคุณระบุ www.domain.com โดเมนจะทำหน้าที่เป็นไวลด์การ์ด www.domain.com/* และ ให้สิทธิ์เส้นทางย่อยในชื่อโฮสต์นั้น
    • โปรดใช้ความระมัดระวังเมื่อให้สิทธิ์ URL ที่มาแบบเต็ม เช่น https://google.com/some/path ตามตามค่าเริ่มต้น ส่วนใหญ่ เบราว์เซอร์ปัจจุบันจะตัดเส้นทางออกจากคำขอข้ามต้นทาง
    ที่อยู่ IP ระบุที่อยู่ IPv4 หรือ IPv6 หรือซับเน็ตโดยใช้ CIDR ที่อยู่ IP ต้องตรงกับที่อยู่ต้นทาง เซิร์ฟเวอร์ Google Maps Platform จะสังเกตการณ์ หากคุณใช้ การแปลที่อยู่เครือข่าย (NAT) ที่อยู่นี้มักจะตรงกับที่อยู่สาธารณะของเครื่อง ที่อยู่ IP
    แอป Android เพิ่มชื่อแพ็กเกจ Android (จาก AndroidManifest.xml) และ SHA-1 ลงนามลายนิ้วมือใบรับรองของแอปพลิเคชัน Android แต่ละรายการที่คุณต้องการ เพื่อให้สิทธิ์ ถ้าคุณใช้ Play App Signing เพื่อดึงข้อมูล ลายนิ้วมือสำหรับใบรับรองที่ลงนาม โปรดดูการทำงานร่วมกับผู้ให้บริการ API หากคุณจัดการคีย์ Signing ของคุณเอง โปรดดู การลงนามด้วยตนเองให้กับแอปพลิเคชัน หรือดูคำแนะนำสำหรับสภาพแวดล้อมของบิลด์
    แอป iOS เพิ่มตัวระบุกลุ่มของแอปพลิเคชัน iOS แต่ละรายการที่คุณต้องการ เพื่อให้สิทธิ์

    ดูคำแนะนำเกี่ยวกับข้อจำกัดของแอปพลิเคชันได้ที่ ข้อจำกัดที่แนะนำของแอปพลิเคชัน

  5. เลือกบันทึก

กำหนดข้อจำกัด API สำหรับคีย์ API

  1. เปิดคอนโซล Google Cloud ข้อมูลเข้าสู่ระบบ Google Maps Platform

  2. เลือกคีย์ API ที่ต้องการจำกัด

  3. ในหน้าแก้ไขคีย์ API ในส่วนการจำกัด API ให้ทำดังนี้

    • เลือกจำกัดคีย์

    • เปิดเลือก API แล้วเลือก API หรือ SDK ที่ต้องการ แอปพลิเคชันของคุณเพื่อเข้าถึงโดยใช้คีย์ API

      หากไม่มี API หรือ SDK ในรายการ คุณต้องเปิดใช้ โปรดดูรายละเอียดที่หัวข้อ วิธีเปิดใช้ API หรือ SDK อย่างน้อย 1 รายการ

    จำกัด API ในหน้าแก้ไขคีย์ API

  4. เลือกบันทึก

    หลังจากขั้นตอนนี้ ข้อจำกัดดังกล่าวจะกลายเป็นส่วนหนึ่งของคำจำกัดความของคีย์ API ตรวจสอบว่าคุณได้ให้รายละเอียดที่เหมาะสม แล้วเลือกบันทึกเพื่อบันทึก ข้อจำกัดของคีย์ API สำหรับข้อมูลเพิ่มเติม โปรดดูที่ คำแนะนำเกี่ยวกับคีย์ API ในเอกสารประกอบสำหรับ API หรือ SDK ที่เฉพาะเจาะจง ที่คุณสนใจ

สําหรับข้อจํากัด API ที่แนะนํา โปรดดู ข้อจำกัด API ที่แนะนำ

ตรวจสอบการใช้งานคีย์ API

หากคุณจะจํากัดคีย์ API หลังจากที่สร้างคีย์แล้ว หรือหากต้องการดู คีย์ใช้ API อะไรอยู่ เพื่อให้คุณสามารถจำกัด API ได้ คุณต้องการตรวจสอบ การใช้งานคีย์ API ขั้นตอนเหล่านี้จะแสดงให้เห็นว่าบริการและเมธอด API ใด กำลังใช้คีย์ API หากคุณเห็นการใช้งานนอกเหนือจาก บริการของ Google Maps Platform ให้ตรวจสอบเพื่อดูว่าคุณจำเป็นต้องเพิ่มหรือไม่ ข้อจำกัดเพิ่มเติมเพื่อหลีกเลี่ยงการใช้งานที่ไม่พึงประสงค์ คุณสามารถใช้เครื่องมือสำรวจเมตริกในคอนโซลระบบคลาวด์ของ Google Maps Platform เพื่อช่วย กำหนด API และแอปพลิเคชันที่จะใช้กับคีย์ API ของคุณ

ระบุ API ที่ใช้คีย์ API

รายงานเมตริกต่อไปนี้ช่วยให้คุณระบุ API ได้ กำลังใช้คีย์ API ของคุณ ใช้รายงานเหล่านี้เพื่อดำเนินการต่อไปนี้

  • ดูว่ามีการใช้คีย์ API ของคุณอย่างไร
  • พบการใช้งานที่ไม่คาดคิด
  • ช่วยยืนยันว่าคีย์ที่ไม่ได้ใช้ปลอดภัยที่จะลบหรือไม่ สำหรับข้อมูลเกี่ยวกับการลบ คีย์ API โปรดดูลบคีย์ API ที่ไม่ได้ใช้

เมื่อใช้การจำกัด API ให้ใช้รายงานเหล่านี้สร้างรายการ API สำหรับ ให้สิทธิ์ หรือเพื่อตรวจสอบข้อจำกัดของคีย์ API ที่สร้างขึ้นโดยอัตโนมัติ วิดีโอแนะนำ ดูข้อมูลเพิ่มเติมเกี่ยวกับข้อจำกัดที่แนะนำได้ที่ ใช้ข้อจำกัดที่แนะนำ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการใช้ เครื่องมือสำรวจเมตริก โปรดดู สร้างแผนภูมิด้วยเครื่องมือสำรวจเมตริก

  1. ไปที่หน้า เครื่องมือสำรวจเมตริกของ Google Cloud Console

  2. เข้าสู่ระบบแล้วเลือกโปรเจ็กต์สำหรับคีย์ API ที่ต้องการตรวจสอบ

  3. ไปที่หน้าสำรวจเมตริกสำหรับประเภท API ที่คุณใช้

  4. ตรวจสอบคีย์ API แต่ละรายการดังนี้

    1. เลือกเพิ่มตัวกรอง

    2. เลือกป้ายกำกับ credential_id

    3. เลือกค่าที่ตรงกับคีย์ที่ต้องการตรวจสอบ

    4. ตรวจสอบว่าคีย์ API นี้ใช้สำหรับ API ใด และยืนยันว่าการใช้งาน ที่คาดไว้

    5. เมื่อเสร็จแล้ว ให้เลือกนำตัวกรองออก ที่ส่วนท้ายของตัวกรองที่ใช้งานอยู่ เพื่อลบตัวกรองพิเศษ

  5. ทำซ้ำกับคีย์ที่เหลือ

  6. จำกัดคีย์ API ของคุณไว้สำหรับ API ที่ใช้เท่านั้น

  7. หากพบการใช้งานที่ไม่ได้รับอนุญาต โปรดดู จัดการการใช้คีย์ API โดยไม่ได้รับอนุญาต

เลือกประเภทการจำกัดแอปพลิเคชันที่ถูกต้องโดยใช้ตัวสำรวจเมตริก

หลังจากที่คุณยืนยันและดําเนินการที่จําเป็นเพื่อให้แน่ใจว่าคีย์ API ของคุณ ใช้เฉพาะกับบริการ Google Maps Platform ที่ Google Maps กำลังใช้อยู่เท่านั้น ตรวจสอบว่าคีย์ API มีข้อจำกัดแอปพลิเคชันที่ถูกต้อง

หากคีย์ API มีข้อจำกัดของคีย์ API ที่แนะนำ ให้นำไปใช้ สำหรับข้อมูลเพิ่มเติม โปรดดูข้อมูลที่หัวข้อใช้ข้อจำกัดของคีย์ API ที่แนะนำ

หากคีย์ API ไม่มีคำแนะนำการจำกัด ให้ระบุประเภทของ การจำกัดแอปพลิเคชันที่จะใช้ โดยอิงตาม platform_type ที่รายงานโดยใช้ เครื่องมือสำรวจเมตริก

  1. ไปที่หน้า เครื่องมือสำรวจเมตริกของ Google Cloud Console

  2. เข้าสู่ระบบและเลือกโปรเจ็กต์สำหรับ API ที่ต้องการตรวจสอบ

  3. ไปที่หน้าสำรวจเมตริกนี้ เครื่องมือสำรวจเมตริก

  4. ตรวจสอบคีย์ API แต่ละรายการดังนี้

    1. เลือกเพิ่มตัวกรอง

    2. เลือกป้ายกำกับ credential_id

    3. เลือกค่าที่ตรงกับคีย์ที่ต้องการตรวจสอบ

    4. เมื่อเสร็จแล้ว ให้เลือกนำตัวกรองออก ที่ส่วนท้ายของตัวกรองที่ใช้งานอยู่ เพื่อลบตัวกรองพิเศษ

  5. ทำซ้ำกับคีย์ที่เหลือ

  6. เมื่อคุณมีประเภทแพลตฟอร์มสำหรับคีย์ API แล้ว ให้ใช้แอปพลิเคชัน ข้อจำกัดสำหรับ platform_type ดังกล่าว

    PLATFORM_TYPE_JS
    ใช้การจำกัดเว็บไซต์กับคีย์
    PLATFORM_TYPE_ANDROID
    ใช้การจำกัดแอปพลิเคชัน Android กับคีย์
    PLATFORM_TYPE_IOS
    ใช้การจำกัดแอปพลิเคชัน iOS กับคีย์
    PLATFORM_TYPE_WEBSERVICE
    คุณอาจต้องใช้ข้อจำกัดที่อยู่ IP กับคีย์เพื่อ จำกัดเลย สำหรับตัวเลือกเพิ่มเติมสำหรับ Maps Static API และ Street View Static API โปรดดู ปกป้องแอปโดยใช้ Web API แบบคงที่ สำหรับคำแนะนำเพิ่มเติมเกี่ยวกับ Maps Embed API โปรดดู เว็บไซต์ที่ใช้ Maps Embed API
    คีย์ API ของฉันใช้แพลตฟอร์มหลายประเภท
    ระบบไม่สามารถรักษาความปลอดภัยการเข้าชมของคุณได้อย่างถูกต้องด้วยคีย์ API เพียงคีย์เดียว คุณต้องมี เพื่อย้ายข้อมูลไปยังคีย์ API หลายรายการ สำหรับข้อมูลเพิ่มเติม โปรดดู ย้ายข้อมูลไปยังคีย์ API หลายรายการ

ใช้คีย์ API แยกกันสำหรับแต่ละแอป

แนวทางปฏิบัตินี้จะจำกัดขอบเขตของแต่ละคีย์ หากคีย์ API รายการหนึ่งถูกบุกรุก ลบหรือสร้างคีย์ที่ได้รับผลกระทบใหม่ได้โดยไม่ต้องอัปเดตคีย์อื่นๆ คีย์ API คุณสร้างคีย์ API ได้สูงสุด 300 รายการต่อโปรเจ็กต์ สำหรับข้อมูลเพิ่มเติม ดู ขีดจำกัดของคีย์ API

แม้ว่าคีย์ API 1 รายการต่อแอปพลิเคชันจะเหมาะสำหรับวัตถุประสงค์ด้านความปลอดภัย แต่คุณก็ใช้ คีย์ที่จำกัดในหลายแอปตราบใดที่แอปเหล่านั้นใช้ประเภทของ การจำกัดแอปพลิเคชัน

ใช้ข้อจำกัดของคีย์ API ที่แนะนำ

สำหรับเจ้าของและผู้แก้ไขโปรเจ็กต์บางราย Google Cloud Console จะแนะนำ ข้อจำกัดเฉพาะคีย์ API ไปยังคีย์ API ที่ไม่จำกัดตาม การใช้งานและกิจกรรมของ Google Maps Platform

คำแนะนำจะปรากฏเป็นตัวเลือกที่กรอกไว้ล่วงหน้าใน ข้อมูลเข้าสู่ระบบ Google Maps Platform

สาเหตุที่คุณอาจไม่เห็นคำแนะนำหรือคำแนะนำที่ไม่สมบูรณ์

  • คุณ (ด้วยเช่นกัน) กำลังใช้คีย์ API ในโปรแกรมอื่นที่ไม่ใช่ Google Maps Platform บริการต่างๆ หากเห็นการใช้งานในบริการอื่นๆ อย่าใช้ คำแนะนำที่ไม่ได้ทำดังนี้ก่อน

    1. ยืนยันว่าการใช้ API ที่คุณเห็นในเมตริกคอนโซล Google Cloud นักสำรวจนั้นเชื่อถือได้

    2. เพิ่มบริการที่ขาดหายไปลงในรายการ API ที่จะได้รับอนุญาตด้วยตนเอง

    3. เพิ่มการจำกัดแอปพลิเคชันที่ขาดหายไปสำหรับบริการที่เพิ่มด้วยตนเอง ไว้ในรายการ API หากรายการอื่นที่เพิ่มต้องใช้ประเภทอื่น การจำกัดแอปพลิเคชัน โปรดดู ย้ายข้อมูลไปยังคีย์ API หลายรายการ

  • ระบบจะไม่ใช้คีย์ API ของคุณใน SDK หรือ API ฝั่งไคลเอ็นต์

  • คุณใช้คีย์ API ในแอปหรือเว็บไซต์ที่มีปริมาณน้อยซึ่งยังไม่เคยเห็นการใช้งาน ในช่วง 60 วันที่ผ่านมา

  • คุณสร้างคีย์ใหม่เมื่อเร็วๆ นี้หรือเพิ่งทำให้ได้ใช้งาน คีย์ที่มีอยู่ในแอปใหม่ หากเป็นเช่นนั้น โปรดรออีก 2-3 วัน เพื่ออนุญาตให้อัปเดตคำแนะนำ

  • คุณกำลังใช้คีย์ API ในแอปพลิเคชันหลายรายการที่ต้องใช้ ประเภทข้อจำกัดแอปพลิเคชันที่ขัดแย้งกัน หรือคุณใช้ คีย์ API ในแอปหรือเว็บไซต์ต่างๆ มากเกินไป ไม่ว่าจะเป็นกรณีใด คุณควรย้ายข้อมูลไปยังหลายคีย์ ดูรายละเอียดเพิ่มเติมได้ที่ ย้ายข้อมูลไปยังคีย์ API หลายรายการ

สาเหตุที่คุณอาจเห็นคำแนะนำที่ไม่ปรากฏในแผนภูมิ

  • แอปหรือเว็บไซต์ของคุณส่งการเข้าชมที่เกิดขึ้นในช่วงเวลาสั้นๆ เท่านั้น ในกรณีนี้ ให้เปลี่ยน จากมุมมองแผนภูมิเพื่อแสดงตารางหรือBOTH ตามการใช้งาน ที่ยังคงปรากฏในคำอธิบาย สำหรับข้อมูลเพิ่มเติม โปรดดู สลับคำอธิบายแบบเต็มของแผนภูมิ

  • การเข้าชมของคุณมาจาก Maps Embed API โปรดดูวิธีการที่หัวข้อ ระบุ API ที่ใช้คีย์ API

  • การเข้าชมจากแอปหรือเว็บไซต์อยู่นอกช่วงวันที่ที่ใช้ได้ใน เครื่องมือสำรวจเมตริกคอนโซล Google Cloud

  1. เปิดคอนโซล Google Cloud ข้อมูลเข้าสู่ระบบ Google Maps Platform

  2. เลือกใช้ข้อจำกัดที่แนะนำ (หากมี)

    ใช้ข้อจำกัดที่แนะนำ

    หมายเหตุ: หากคุณไม่เห็นข้อจำกัดใดๆ ที่แนะนำ โปรดดู กำหนดข้อจำกัด API สำหรับคีย์ API เพื่อตั้งค่าให้เหมาะสม ข้อจำกัด

  3. เลือกตรวจสอบการใช้งาน API เพื่อยืนยันว่าบริการที่ใช้คีย์ API อยู่ ใช้ใน หากเห็นบริการอื่นที่ไม่ใช่บริการของ Google Maps Platform ให้pause เพื่อดูคำแนะนำข้างต้นด้วยตนเอง ดูการแก้ปัญหา ขั้นตอนที่จุดเริ่มต้นของส่วน ใช้ข้อจำกัดของคีย์ API ที่แนะนำ

  4. ตรวจสอบอีกครั้งว่าข้อจำกัดที่กรอกไว้ล่วงหน้าตรงกับเว็บไซต์และแอป ตำแหน่งที่คุณคาดว่าจะใช้คีย์ API

    แนวทางปฏิบัติแนะนำ: จัดทำเอกสารและนำข้อจำกัดของแอปพลิเคชันหรือ API ออก ที่ไม่ได้เกี่ยวข้องกับบริการของคุณ หากมีสิ่งใดขัดข้องเนื่องจาก ทรัพยากร Dependency ที่ไม่คาดคิด จากนั้นคุณจะเพิ่มแอปหรือ API ที่จำเป็นกลับเข้าไปได้

    • หากคุณทราบว่าแอป เว็บไซต์ หรือ API หายไปจาก ให้เพิ่มด้วยตนเองหรือรอสัก 2-3 วันเพื่อให้ คำแนะนำให้อัปเดต

    • หากต้องการความช่วยเหลือเพิ่มเติมเกี่ยวกับคำแนะนำที่แนะนำ ติดต่อทีมสนับสนุน

  5. เลือกใช้

สิ่งที่ต้องทำหากใบสมัครถูกปฏิเสธหลังจากใช้คำแนะนำ

หากคุณสังเกตเห็นว่าแอปหรือเว็บไซต์ถูกปฏิเสธหลังจากใช้ข้อจำกัด มองหาการจำกัดแอปพลิเคชันที่คุณต้องเพิ่มในข้อผิดพลาดการตอบกลับ API

สําหรับ SDK ฝั่งไคลเอ็นต์ โปรดดูด้านล่าง

หากต้องการตรวจสอบข้อจำกัด API ที่จำเป็น โปรดดู ระบุ API ที่ใช้คีย์ API

หากระบุข้อจำกัดที่จะใช้ไม่ได้ ให้ทำดังนี้

  1. ระบุข้อจำกัดปัจจุบันไว้เพื่ออ้างอิงในอนาคต
  2. โปรดนำการยกเว้นดังกล่าวออกชั่วคราวระหว่างที่ตรวจสอบปัญหา คุณสามารถตรวจสอบ การใช้งานที่ผ่านมา โดยทำตามขั้นตอนในหัวข้อตรวจสอบการใช้งานคีย์ API
  3. และติดต่อทีมสนับสนุนหากจำเป็น

ลบคีย์ API ที่ไม่ได้ใช้

ก่อนลบคีย์ API โปรดตรวจสอบว่าคีย์ API ดังกล่าวไม่ได้ใช้ในเวอร์ชันที่ใช้งานจริง ถ้า ไม่มีการเข้าชมที่สำเร็จ คีย์นี้อาจปลอดภัยที่จะลบได้ สำหรับข้อมูลเพิ่มเติม ดูข้อมูลที่หัวข้อตรวจสอบการใช้งานคีย์ API

วิธีลบคีย์ API

  1. เปิดคอนโซล Google Cloud ข้อมูลเข้าสู่ระบบ Google Maps Platform

  2. เลือกคีย์ API ที่ต้องการลบ

  3. เลือกปุ่มลบใกล้ด้านบนของหน้า

  4. ในหน้าลบข้อมูลเข้าสู่ระบบ ให้เลือกลบ

    การลบคีย์ API จะใช้เวลาสักครู่จึงจะมีผล หลัง การเผยแพร่เสร็จสมบูรณ์ การรับส่งข้อมูลที่ใช้คีย์ API ที่ลบไปแล้วจะถูกปฏิเสธ

โปรดระมัดระวังเมื่อสร้างคีย์ API ใหม่

การสร้างคีย์ API ใหม่จะเป็นการสร้างคีย์ใหม่ที่มีคีย์เก่าทั้งหมด ข้อจำกัด กระบวนการนี้จะเริ่มจับเวลา 24 ชั่วโมงให้หลัง API เก่า ลบกุญแจแล้ว

ในช่วงเวลานี้ จะมีการยอมรับทั้งคีย์เก่าและใหม่ ทำให้คุณ ย้ายแอปพลิเคชันของคุณไปใช้คีย์ใหม่ อย่างไรก็ตาม หลังจากระยะเวลานี้ ผ่านไป แอปที่ยังคงใช้คีย์ API เดิมจะหยุดทำงาน

ก่อนสร้างคีย์ API ใหม่ ให้ทำดังนี้

  • ก่อนอื่นให้ลองจำกัดคีย์ API ของคุณตามที่อธิบายไว้ใน จำกัดคีย์ API

  • หากจำกัดคีย์ API ไม่ได้เนื่องจากแอปพลิเคชันขัดแย้งกัน ประเภทข้อจำกัด ให้ย้ายข้อมูลไปยังคีย์ใหม่ (แบบจำกัด) หลายรายการตามที่อธิบายไว้ใน ย้ายข้อมูลไปยังคีย์ API หลายรายการ กำลังย้ายข้อมูล ช่วยให้คุณควบคุมการย้ายข้อมูลและเปิดตัวไทม์ไลน์กับคีย์ API ใหม่ได้

หากทำคำแนะนำก่อนหน้าไม่ได้ และคุณต้องสร้าง คีย์ API เพื่อป้องกันการใช้งานที่ไม่ได้รับอนุญาต จากนั้นทำตามขั้นตอนต่อไปนี้

  1. เปิดคอนโซล Google Cloud ข้อมูลเข้าสู่ระบบ Google Maps Platform

  2. เปิดคีย์ API ที่ต้องการสร้างใหม่

  3. ที่ด้านบนของหน้า ให้เลือกสร้างคีย์ใหม่

  4. เลือกแทนที่คีย์

หมายเหตุ: หากจำเป็น คุณสามารถย้อนกลับคีย์ใดก็ได้ที่สร้างใหม่มาเพื่อ เป็นเวอร์ชันก่อนหน้า ไม่มีการจำกัดเวลาสำหรับการย้อนกลับ

วิธีย้อนกลับคีย์ที่สร้างใหม่

  1. เปิดคอนโซล Google Cloud ข้อมูลเข้าสู่ระบบ Google Maps Platform

  2. เปิดคีย์ API ที่ต้องการย้อนกลับ

  3. เลือกเปลี่ยนกลับเป็นคีย์ก่อนหน้า

  4. ในกล่องโต้ตอบเปลี่ยนกลับ ให้เลือกเปลี่ยนกลับคีย์

เมื่อย้อนกลับ ตัวเลือกเดิม "ใหม่" เวอร์ชันของคีย์กลายเป็นก่อนหน้า และจะมีตัวจับเวลาการปิดใช้งาน 24 ชั่วโมงใหม่ไว้ให้ คุณสามารถ เปลี่ยนกลับระหว่างค่าคีย์ 2 ค่านี้จนกว่าคุณจะสร้างคีย์อีกครั้ง

หากสร้างคีย์อีกครั้ง ระบบจะเขียนทับค่าคีย์เก่าที่ไม่มีการใช้งาน

ย้ายข้อมูลไปยังคีย์ API หลายรายการ

วิธีย้ายข้อมูลจากการใช้คีย์ API เดียวสำหรับหลายแอปไปยังคีย์ API รายการเดียวที่ไม่ซ้ำกัน สำหรับแต่ละแอป ให้ทำตามขั้นตอนต่อไปนี้

  1. ระบุว่าแอปใดต้องใช้คีย์ใหม่ ให้ทำดังนี้

    • เว็บแอปเป็นวิธีอัปเดตที่ง่ายที่สุดเนื่องจากคุณควบคุมโค้ดทั้งหมด วางแผนอัปเดตแอปบนเว็บทั้งหมดของคุณ คีย์
    • แอปบนอุปกรณ์เคลื่อนที่นั้นทำได้ยากกว่า เนื่องจากลูกค้าต้องอัปเดตแอป ก่อนที่จะใช้คีย์ใหม่ได้
  2. สร้างและจำกัดคีย์ใหม่: เพิ่มทั้งข้อจำกัดของแอปพลิเคชัน และการจำกัด API อย่างน้อย 1 ข้อ สำหรับข้อมูลเพิ่มเติม โปรดดู แนวทางปฏิบัติแนะนำ

  3. เพิ่มคีย์ใหม่ลงในแอป: สำหรับแอปบนอุปกรณ์เคลื่อนที่ ขั้นตอนนี้อาจ ใช้เวลาหลายเดือนกว่าผู้ใช้ทั้งหมดจะอัปเดตเป็น แอปล่าสุด ด้วย คีย์ API

ปกป้องแอปโดยใช้ Web API แบบคงที่

Web API แบบคงที่ เช่น Maps Static API และ Street View Static API คล้ายกับการเรียก API บริการเว็บ

คุณเรียกใช้ทั้ง 2 แบบโดยใช้ HTTPS REST API แบบง่าย และโดยทั่วไปแล้วคุณก็สร้าง API ได้ URL คำขอบนเซิร์ฟเวอร์ อย่างไรก็ตาม แทนที่จะส่งคืนการตอบกลับ JSON แบบคงที่คือ Web API จะสร้างรูปภาพที่คุณสามารถฝังในโค้ด HTML ที่สร้างขึ้น เพิ่มเติม ที่สำคัญคือโดยทั่วไปแล้วจะเป็นไคลเอ็นต์ของผู้ใช้ปลายทาง ไม่ใช่เซิร์ฟเวอร์ บริการ Google Maps Platform

ใช้ลายเซ็นดิจิทัล

ตามแนวทางปฏิบัติแนะนำ ให้ใช้ลายเซ็นดิจิทัลทุกครั้งนอกเหนือจาก คีย์ API นอกจากนี้ ให้ตรวจสอบจำนวนคำขอที่ไม่ได้ลงชื่อที่คุณต้องการอนุญาตต่อวัน และ ปรับโควต้าคำขอที่ไม่ได้ลงชื่อ ตามนั้น

โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับลายเซ็นดิจิทัลที่ คู่มือลายเซ็นดิจิทัล

ปกป้องความลับในการรับรอง

โปรดอย่าฝังข้อมูลลับ Signing API โดยตรงใน เพื่อปกป้อง Static Web API หรือในโครงสร้างต้นฉบับ หรือแสดงในแอปพลิเคชันฝั่งไคลเอ็นต์ ติดตาม แนวทางปฏิบัติแนะนำต่อไปนี้ในการปกป้องความลับในการรับรอง

  • ลงนามในคำขอจากฝั่งเซิร์ฟเวอร์ ไม่ใช่ในไคลเอ็นต์ หากคุณเลือกการลงชื่อ ฝั่งไคลเอ็นต์ใน JavaScript เป็นการเปิดเผยต่อทุกคนที่เข้าชมเว็บไซต์ ดังนั้น สำหรับรูปภาพที่สร้างขึ้นแบบไดนามิก ให้สร้าง Maps ที่มีการลงชื่อเสมอ Static API และ Street View Static API ของคําขอ URL ฝั่งเซิร์ฟเวอร์เมื่อแสดงโฆษณา หน้าเว็บนั้น สำหรับเนื้อหาเว็บแบบคงที่ คุณสามารถใช้ปุ่มลงชื่อ URL เลย ในหน้าข้อมูลเข้าสู่ระบบ Google Maps Platform ของ Cloud Console

  • ข้อมูลลับใน Store Signing นอกซอร์สโค้ดและโครงสร้างแหล่งที่มาของแอปพลิเคชัน หากคุณใส่ข้อมูลลับในการลงชื่อหรือข้อมูลส่วนตัวอื่นๆ ไว้ในช่อง ตัวแปรสภาพแวดล้อมหรือรวมไฟล์ที่เก็บไว้แยกต่างหาก จากนั้น แชร์รหัสของคุณ ข้อมูลลับในการลงทะเบียนจะไม่รวมอยู่ในไฟล์ที่แชร์ ถ้า คุณจัดเก็บข้อมูลลับในการลงชื่อหรือข้อมูลส่วนตัวอื่นๆ ไว้ในไฟล์ ให้ ไฟล์นอกโครงสร้างแหล่งที่มาของแอปพลิเคชันเพื่อรักษาความลับในการรับรอง ออกจากระบบควบคุมซอร์สโค้ดของคุณ โดยเฉพาะอย่างยิ่ง สำคัญหากคุณใช้ระบบจัดการซอร์สโค้ดสาธารณะ เช่น GitHub

ปกป้องคีย์ API ในแอปโดยใช้บริการเว็บ

จัดเก็บคีย์ API ไว้นอกแอปพลิเคชัน ซอร์สโค้ดหรือซอร์สโค้ด หากคุณใส่คีย์ API หรือคีย์อื่นๆ ข้อมูลในตัวแปรสภาพแวดล้อมหรือรวมไฟล์ที่เก็บไว้ แยกต่างหากและแชร์โค้ดของคุณ คีย์ API จะไม่รวมอยู่ใน ไฟล์ที่แชร์ ซึ่งมีความสำคัญโดยเฉพาะอย่างยิ่งหากคุณใช้ซอร์สโค้ดสาธารณะ ระบบการจัดการ เช่น GitHub

ปกป้องคีย์ API และข้อมูลลับในการลงชื่อเข้าใช้แอปบนอุปกรณ์เคลื่อนที่โดยใช้บริการบนเว็บหรือ Static Web API

หากต้องการปกป้องแอปบนอุปกรณ์เคลื่อนที่ ให้ใช้คีย์สโตร์ที่ปลอดภัยหรือพร็อกซีเซิร์ฟเวอร์ที่ปลอดภัย โดยทำดังนี้

  • จัดเก็บคีย์ API หรือข้อมูลลับในการลงชื่อในคีย์สโตร์ที่ปลอดภัย ขั้นตอนนี้ช่วยให้ การคัดลอกเนื้อหาคีย์ API และข้อมูลส่วนตัวอื่นๆ โดยตรงจาก แอปพลิเคชัน

  • ใช้พร็อกซีเซิร์ฟเวอร์ที่ปลอดภัย พร็อกซีเซิร์ฟเวอร์มีแหล่งที่มาที่เสถียรสำหรับ การโต้ตอบกับ Google Maps Platform API ที่เหมาะสม สำหรับข้อมูลเพิ่มเติม ข้อมูลเกี่ยวกับการใช้พร็อกซีเซิร์ฟเวอร์ โปรดดู ใช้งานจริง: การใช้พร็อกซีเซิร์ฟเวอร์กับไลบรารีไคลเอ็นต์ Google Data API

    • สร้างคำขอ Google Maps Platform บนพร็อกซีเซิร์ฟเวอร์ อย่าอนุญาตให้ไคลเอ็นต์ส่งต่อการเรียก API ที่กำหนดเองผ่านพร็อกซี

    • ประมวลผลการตอบกลับ Google Maps Platform หลังประมวลผลในพร็อกซีเซิร์ฟเวอร์ กรองข้อมูลที่ลูกค้าไม่จำเป็นต้องใช้ออก

จัดการการใช้คีย์ API โดยไม่ได้รับอนุญาต

หากตรวจพบการใช้คีย์ API ที่ไม่ได้รับอนุญาต โปรดดำเนินการต่อไปนี้เพื่อ แก้ไขปัญหา

  1. จำกัดคีย์: หากคุณใช้คีย์เดียวกันในหลายแอป ย้ายข้อมูลไปยังคีย์ API หลายรายการ และใช้คีย์ API แยกกันสำหรับแต่ละแอป โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อต่อไปนี้

  2. เฉพาะให้สร้างคีย์ใหม่หากคุณจำกัดคีย์ไม่ได้ อ่านแล้ว ส่วนโปรดระวังเมื่อสร้างคีย์ API ใหม่ ก่อนดำเนินการต่อ

  3. หากยังพบปัญหาหรือต้องการความช่วยเหลือ ติดต่อทีมสนับสนุน

ข้อจำกัดแอปพลิเคชันและ API ที่แนะนำ

ส่วนต่อไปนี้จะแนะนำเกี่ยวกับการใช้งานและข้อจำกัด API ที่เหมาะสมสำหรับ Google Maps Platform API, SDK หรือบริการแต่ละรายการ

ข้อจำกัด API ที่แนะนำ

หลักเกณฑ์ต่อไปนี้สำหรับข้อจำกัด API จะมีผลกับ แพลตฟอร์ม Google Maps

  • จำกัดคีย์ API ของคุณไว้สำหรับ API ที่คุณใช้ด้วยเท่านั้น ข้อยกเว้นต่อไปนี้

    • หากแอปของคุณใช้ Places SDK สำหรับ Android หรือ Places SDK สำหรับ iOS ให้สิทธิ์ Places API

    • หากแอปใช้ Maps JavaScript API ทุกครั้ง อนุญาตลงในคีย์ของคุณ

    • หากคุณใช้ Maps JavaScript API ใดๆ ต่อไปนี้ด้วย คุณควรให้สิทธิ์ API ต่อไปนี้ด้วย

    บริการ การจำกัด API
    บริการเส้นทาง, Maps JavaScript API Directions API
    บริการเมทริกซ์ระยะทาง, Maps JavaScript API Distance Matrix API
    บริการระดับความสูง, Maps JavaScript API Elevation API
    บริการการเข้ารหัสพิกัดภูมิศาสตร์, Maps JavaScript API Geocoding API
    Places Library, Maps JavaScript API Places API

ตัวอย่างมีดังต่อไปนี้

  • คุณกำลังใช้ Maps SDK สำหรับ Android และ Places SDK สำหรับ Android คุณจึงใส่ Maps SDK สำหรับ Android และ Places API ในรูปแบบ ข้อจำกัด API

  • เว็บไซต์ของคุณใช้ Maps JavaScript API บริการยกระดับและ Maps Static API ดังนั้นคุณจึงเพิ่มข้อจำกัด API ทั้งหมด API ต่อไปนี้

    • Maps JavaScript API
    • Elevation API
    • Maps Static API

ข้อจำกัดแอปพลิเคชันที่แนะนำ

เว็บไซต์ที่มี Maps JavaScript API หรือ Static Web API

สำหรับเว็บไซต์ที่ใช้บริการ Maps JavaScript หรือ Web API แบบคงที่ ให้ใช้ การจำกัดแอปพลิเคชัน Websites รายการ

ใช้สำหรับเว็บไซต์ที่ใช้บริการ JavaScript และ API ต่อไปนี้

1 สำหรับแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ ให้พิจารณาสิ่งต่อไปนี้ โดยใช้โฆษณาเนทีฟ Maps SDK สำหรับ Android และ Maps SDK สำหรับ iOS

2 ดูเพิ่มเติม ปกป้องแอปบนอุปกรณ์เคลื่อนที่โดยใช้บริการเว็บหรือ Static Web API

เว็บไซต์ที่มี Maps Embed API

แม้การใช้งาน Maps Embed API จะไม่มีค่าใช้จ่าย แต่คุณก็ควร จำกัดคีย์ API ที่ใช้เพื่อป้องกันการละเมิดในบริการอื่นๆ

แนวทางปฏิบัติแนะนำ: สร้างคีย์ API แยกต่างหากสำหรับ Maps Embed API ใช้และจำกัดคีย์นี้เฉพาะเฉพาะ Maps Embed API ช่วงเวลานี้ ซึ่งช่วยรักษาความปลอดภัยให้คีย์ได้อย่างเพียงพอ และป้องกันไม่ให้มีการใช้คีย์โดยไม่ได้รับอนุญาต บริการอื่นๆ ของ Google

หากคุณไม่สามารถแยกการใช้ Maps Embed API เป็น คีย์ API แยกต่างหาก รักษาความปลอดภัยคีย์ของคุณโดยใช้ Websites การจำกัดแอปพลิเคชัน

แอปและเซิร์ฟเวอร์ที่ใช้บริการเว็บ

สำหรับแอปและเซิร์ฟเวอร์ที่ใช้บริการเว็บ ให้ใช้ IP addresses การจำกัดแอปพลิเคชัน

ใช้สำหรับแอปและเซิร์ฟเวอร์ที่ใช้ API ต่อไปนี้

3 สำหรับแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ ให้พิจารณาใช้ เนทีฟ Places SDK สำหรับ Android และ Places SDK สำหรับ iOS

แอป Android

สำหรับแอปใน Android ให้ใช้การจำกัดแอปพลิเคชัน Android apps ใช้สำหรับแอปและเซิร์ฟเวอร์ที่ใช้ SDK ต่อไปนี้

นอกจากนี้ ป้องกันไม่ให้เผลอตรวจสอบคีย์ API ในการควบคุมเวอร์ชันโดยไม่ได้ตั้งใจ โดยใช้ Secrets Gradle ปลั๊กอินเพื่อแทรกข้อมูลลับ จากไฟล์ในเครื่องแทนที่จะจัดเก็บไว้ใน Android Manifest

แอป iOS

สำหรับแอปใน iOS ให้ใช้การจำกัดแอปพลิเคชัน iOS apps ใช้สำหรับแอปและเซิร์ฟเวอร์ที่ใช้ SDK ต่อไปนี้