Si una petición llega sin API Key válida, no tiene sentido consumir CPU transformando su payload. Verify API Key y Spike Arrest deben ser las primeras políticas del PreFlow del ProxyEndpoint. Cuanto antes rechaces el tráfico no deseado, mejor responde el resto del sistema.
Si tus APIs comparten el mismo bloque de políticas (Verify API Key + Quota + Spike Arrest, por ejemplo), no las configures una a una. Crea una plantilla de políticas y aplícala. La consistencia entre APIs es lo que hace mantenible una capa de gestión a medio plazo.
Nunca dejes que un error 500 del backend llegue tal cual al cliente. Captura el fallo en el FaultRule, formatea un mensaje JSON limpio y devuelve el código que el consumidor espera. Tu Developer Hub se vuelve mucho más usable.
Una política JavaScript con 200 líneas dentro de un proxy es un olor de diseño. Si la lógica crece, normalmente toca moverla a Cloud Integration o a un microservicio detrás del proxy. El API Management está para mediar tráfico, no para ejecutar reglas de negocio.