API-Referenzen - Amazon API Gateway
Service-Endpunkte in API GatewayVerwenden von IPv6-Adressen in IAM-Richtlinien

API-Referenzen

Amazon API Gateway stellt APIs zum Erstellen und Bereitstellen Ihrer eigenen HTTP- und WebSocket-APIs bereit. Darüber hinaus sind API-Gateway-APIs in standardmäßigen AWS SDKs verfügbar.

Wenn Sie eine Sprache verwenden, für die ein AWS SDK vorhanden ist, ziehen Sie es möglicherweise vor, das SDK zu verwenden, anstatt direkt mit den API-Gateway-REST-APIs zu arbeiten. Die SDKs vereinfachen die Authentifizierung, lassen sich leicht in die Entwicklungsumgebung integrieren und bieten einen einfachen Zugriff auf die API Gateway-Befehle.

Hier finden Sie die AWS SDKs und API-Gateway-REST-API-Referenzdokumentation:

Service-Endpunkte in API Gateway

Ein Endpunkt ist eine URL, die als Einstiegspunkt für einen AWS-Webservice dient. API Gateway unterstützt die folgenden Endpunkttypen:

Wenn Sie eine Anfrage stellen, können Sie den zu verwendenden Endpunkt angeben. Wenn Sie keinen Endpunkt festlegen, wird standardmäßig der IPv4-Endpunkt verwendet. Um einen anderen Endpunkttyp zu verwenden, müssen Sie ihn in Ihrer Anforderung angeben. Beispiele für diese Vorgehensweise finden Sie unter Angeben von Endpunkten. Eine Tabelle mit den verfügbaren Endpunkten finden Sie unter Endpunkte von Amazon API Gateway.

IPv4-Endpunkte

IPv4 Endpunkte unterstützen nur IPv4-Datenverkehr. IPv4-Endpunkte sind für alle Regionen verfügbar.

Wenn Sie den allgemeinen Endpunkt, apigateway.amazonaws.com, angeben, verwenden wir den Endpunkt für us-east-1. Um eine andere Region zu verwenden, geben Sie den zugehörigen Endpunkt an. Wenn Sie beispielsweise apigateway.us-east-2.amazonaws.com als Endpunkt angeben, leiten wir Ihre Anfrage an den us-east-2-Endpunkt weiter.

IPv4-Endpunktnamen verwenden die folgende Namenskonvention:

  • apigateway.region.amazonaws.com

Beispielsweise ist der IPv4 -Endpunktname für die Region eu-west-1 apigateway.eu-west-1.amazonaws.com.

Dualstack-Endpunkte (IPv4 und IPv6)

Dualstack-Endpunkte unterstützen sowohl IPv4- als auch IPv6-Verkehr. Wenn Sie eine Anfrage an einen Dualstack-Endpunkt stellen, löst die Endpunkt-URL eine IPv6- oder eine IPv4-Adresse auf, je nachdem, welches Protokoll Ihr Netzwerk und Ihr Client verwendet.

Dual-Stack-Endpunktnamen verwenden die folgende Namenskonvention:

  • apigateway.region.api.aws

Beispielsweise ist der Dual-Stack-Endpunktname für die Region eu-west-1 apigateway.eu-west-1.api.aws.

Angeben von Endpunkten

Die folgenden Beispiele zeigen, wie Sie einen Endpunkt für die Region us-east-2 mithilfe der AWS CLI für apigateway angeben.

  • Dualstack

    aws apigateway get-rest-apis --region us-east-2 --endpoint-url https://apigateway.us-east-2.api.aws

  • IPv4

    aws apigateway get-rest-apis --region us-east-2 --endpoint-url https://apigateway.us-east-2.amazonaws.com

Die folgenden Beispiele zeigen, wie Sie einen Endpunkt für die Region us-east-2 mithilfe der AWS CLI für apigatewayv2angeben.

  • Dualstack

    aws apigatewayv2 get-apis --region us-east-2 --endpoint-url https://apigateway.us-east-2.api.aws

  • IPv4

    aws apigatewayv2 get-apis --region us-east-2 --endpoint-url https://apigateway.us-east-2.amazonaws.com

Verwenden von IPv6-Adressen in IAM-Richtlinien

Wenn Sie IAM-Benutzerrichtlinien oder API-Gateway-Ressourcensicherheitsrichtlinien verwenden, um den Zugriff auf API Gateway oder auf eine API in API Gateway zu steuern, stellen Sie sicher, dass Ihre Richtlinien auf IPv6-Adressbereiche aktualisiert sind. Richtlinien, die nicht für die Verarbeitung von IPv6-Adressen aktualisiert wurden, können den Zugriff der Clients auf API Gateway beeinträchtigen, sobald diese den Dualstack-Endpunkt verwenden. Weitere Informationen über die Verwaltung von Zugriffsberechtigungen mit IAM finden Sie unter Identitäts- und Zugriffsverwaltung für Amazon API Gateway.

IAM-Richtlinien, die IP-Adressen filtern, verwenden Bedingungsoperatoren für IP-Adressen. Die folgende Identitätsrichtlinie erlaubt IP-Adressen im Bereich 54.240.143.* den Zugriff auf Informationen zu allen Ressourcen einer HTTP- oder WebSocket-API mit der Kennung a123456789. Alle IP-Adressen außerhalb dieses Bereichs werden beim Zugriff auf Informationen zu den Ressourcen der API abgelehnt. Da alle IPv6-Adressen außerhalb des zulässigen Bereichs liegen, verhindert diese Richtlinie, dass IPv6-Adressen auf Informationen zur API zugreifen können.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "apigateway:GET",
      "Resource": "arn:aws:apigateway:us-east-1::/apis/a123456789/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"}
      } 
    } 
  ]
}

Sie können das Condition-Element der API-Richtlinie so anpassen, dass sowohl IPv4- (54.240.143.0/24) als auch IPv6- (2001:DB8:1234:5678::/64) Adressbereiche erlaubt sind, wie im folgenden Beispiel dargestellt. Sie können denselben Typ von Condition-Block, der im Beispiel gezeigt wird, verwenden, um sowohl Ihre IAM-Benutzerrichtlinien als auch die API-Gateway-Ressourcensicherheitsrichtlinien zu aktualisieren.

       "Condition": {
         "IpAddress": {
            "aws:SourceIp": [
              "54.240.143.0/24",
               "2001:DB8:1234:5678::/64"
             ]
          }
        }