Wählen Sie eine Sicherheitsrichtlinie für Ihre benutzerdefinierte Domain in API Gateway - Amazon API Gateway
ÜberlegungenWie API Gateway Sicherheitsrichtlinien anwendetÄndern Sie die Sicherheitsrichtlinie Ihres benutzerdefinierten DomainnamensInformationen zu HTTP APIs und WebSocket APIs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wählen Sie eine Sicherheitsrichtlinie für Ihre benutzerdefinierte Domain in API Gateway

Eine Sicherheitsrichtlinie ist eine vordefinierte Kombination aus einer minimalen TLS-Version und Verschlüsselungssuites, die von API Gateway angeboten werden. Wenn Ihre Clients einen TLS-Handshake mit Ihrer API oder Ihrem benutzerdefinierten Domain-Namen erfordern, setzt die Sicherheitsrichtlinie die TLS-Version und die Verschlüsselungssuite durch, die von API Gateway akzeptiert werden. Sicherheitsrichtlinien schützen Ihre APIs und benutzerdefinierte Domainnamen vor Netzwerksicherheitsproblemen wie Manipulation und Abhören zwischen einem Client und einem Server.

API Gateway unterstützt ältere Sicherheitsrichtlinien und erweiterte Sicherheitsrichtlinien. TLS_1_0und TLS_1_2 sind veraltete Sicherheitsrichtlinien. Verwenden Sie diese Sicherheitsrichtlinien für allgemeine Workloads oder um mit der Erstellung einer API zu beginnen. Jede Richtlinie, die mit beginnt, SecurityPolicy_ ist eine erweiterte Sicherheitsrichtlinie. Sie können diese Richtlinien für regulierte Workloads, erweiterte Governance oder die Verwendung von Post-Quanten-Kryptographie verwenden. Wenn Sie eine optimierte Sicherheitsrichtlinie verwenden, müssen Sie auch den Endpunktzugriffsmodus festlegen, um zusätzliche Governance bereitzustellen. Weitere Informationen finden Sie unter Endpunktzugriffsmodus.

Überlegungen

Im Folgenden finden Sie Überlegungen zu Sicherheitsrichtlinien für benutzerdefinierte Domainnamen für REST APIs in API Gateway:

  • Sie können Mutual TLS nicht für einen Domainnamen aktivieren, der eine erweiterte Sicherheitsrichtlinie verwendet.

  • Sie können einem Domainnamen, der eine erweiterte Sicherheitsrichtlinie verwendet, keine HTTP-API zuordnen.

  • Wenn Sie die mehrstufige Basispfadzuordnung für eine REST-API aktivieren, die eine erweiterte Sicherheitsrichtlinie verwendet, können Sie keine Basispfadzuordnung zu einer HTTP-API für denselben Domainnamen erstellen.

  • Ihre API kann einem benutzerdefinierten Domainnamen mit einer anderen Sicherheitsrichtlinie als Ihrer API zugeordnet werden. Wenn Sie diesen benutzerdefinierten Domainnamen aufrufen, verwendet API Gateway die Sicherheitsrichtlinie der API, um den TLS-Handshake auszuhandeln. Wenn Sie Ihren Standard-API-Endpunkt deaktivieren, kann dies die Art und Weise beeinflussen, wie Aufrufer Ihre API aufrufen können.

  • API Gateway unterstützt Sicherheitsrichtlinien für alle APIs. Sie können jedoch nur eine Sicherheitsrichtlinie für REST auswählen APIs. API Gateway unterstützt nur die TLS_1_2 Sicherheitsrichtlinie für HTTP oder WebSocket APIs.

  • API Gateway unterstützt nicht die Aktualisierung einer Sicherheitsrichtlinie für einen Domainnamen mit mehreren Endpunkttypen. Wenn Sie mehrere Endpunkttypen für einen Domainnamen haben, löschen Sie einen davon, um die Sicherheitsrichtlinie zu aktualisieren.

Wie API Gateway Sicherheitsrichtlinien anwendet

Das folgende Beispiel zeigt am Beispiel der Sicherheitsrichtlinie, wie API Gateway SecurityPolicy_TLS13_1_3_2025_09 Sicherheitsrichtlinien anwendet.

Die SecurityPolicy_TLS13_1_3_2025_09 Sicherheitsrichtlinie akzeptiert TLS 1.3-Verkehr und lehnt TLS 1.2- und TLS 1.0-Verkehr ab. Für TLS 1.3-Verkehr akzeptiert die Sicherheitsrichtlinie die folgenden Verschlüsselungssammlungen:

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

API Gateway akzeptiert keine anderen Cipher Suites. Zum Beispiel würde die Sicherheitsrichtlinie jeglichen TLS 1.3-Verkehr ablehnen, der die AES128-SHA Cipher Suite verwendet.

Um zu überwachen, welches TLS-Protokoll und welche Chiffren Clients für den Zugriff auf Ihr API Gateway verwendet haben, können Sie die $context.cipherSuite Kontextvariablen $context.tlsVersion und in Ihren Zugriffsprotokollen verwenden. Weitere Informationen finden Sie unter REST APIs in API Gateway überwachen.

Die Standardsicherheitsrichtlinien für alle REST APIs - und benutzerdefinierten Domainnamen finden Sie unter. Standard-Sicherheitsrichtlinien Informationen zu den unterstützten Sicherheitsrichtlinien für alle REST APIs - und benutzerdefinierten Domainnamen finden Sie unterUnterstützte Sicherheitsrichtlinien.

Ändern Sie die Sicherheitsrichtlinie Ihres benutzerdefinierten Domainnamens

Wenn Sie Ihre Sicherheitsrichtlinie ändern, dauert es etwa 15 Minuten, bis das Update abgeschlossen ist. Sie können den Wert lastUpdateStatus Ihres benutzerdefinierten Domainnamens überwachen. Wenn Ihr benutzerdefinierter Domainname aktualisiert wird, lastUpdateStatus ist er PENDING und wenn er abgeschlossen ist, wird er es auch seinAVAILABLE.

Wenn Sie eine Sicherheitsrichtlinie verwenden, die mit beginntSecurityPolicy_, müssen Sie auch den Endpunktzugriffsmodus aktivieren. Weitere Informationen finden Sie unter Endpunktzugriffsmodus.

AWS-Managementkonsole
Um die Sicherheitsrichtlinie eines benutzerdefinierten Domänennamens zu ändern

  1. Melden Sie sich bei der API Gateway Gateway-Konsole unter https://console.aws.amazon.com/apigatewayan.

  2. Wählen Sie einen benutzerdefinierten Domainnamen, der Traffic an REST sendet. APIs

    Stellen Sie sicher, dass Ihrem benutzerdefinierten Domainnamen nur ein Endpunkttyp zugeordnet ist.

  3. Wählen Sie Benutzerdefinierte Domainnamen-Einstellungen und dann Bearbeiten aus.

  4. Wählen Sie für Sicherheitsrichtlinie eine neue Richtlinie aus.

  5. Wählen Sie für den Endpunktzugriffsmodus die Option Strict aus.

  6. Wählen Sie Änderungen speichern aus.

AWS CLI

Mit dem folgenden update-domain-nameBefehl wird ein Domainname aktualisiert, sodass er die SecurityPolicy_TLS13_1_3_2025_09 Sicherheitsrichtlinie verwendet:

aws apigateway update-domain-name \
    --domain-name example.com \
    --patch-operations '[
        {
            "op": "replace",
            "path": "/securityPolicy",
            "value": "SecurityPolicy_TLS13_1_3_2025_09"
        }, 
        {
            "op": "replace",
            "path": "/endpointAccessMode",
            "value": "STRICT"
        }
    ]'

Die Ausgabe sieht wie folgt aus:

{
   "domainName": "example.com",
   "endpointConfiguration": { 
      "types": [ "REGIONAL" ], 
      "ipAddressType": "dualstack" 
   },
   "regionalCertificateArn": "arn:aws:acm:us-west-2:111122223333:certificate/a1b2c3d4-5678-90ab-cdef",
   "securityPolicy": "SecurityPolicy_TLS13_1_3_2025_09",
   "endpointAccessMode": "STRICT"
}

Informationen zu HTTP APIs und WebSocket APIs

Weitere Hinweise zu HTTP APIs und WebSocket APIs finden Sie unter Sicherheitsrichtlinie für HTTP-APIs in API Gateway undSicherheitsrichtlinie für WebSocket-APIs in API Gateway.