Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Wählen Sie eine Sicherheitsrichtlinie für Ihre benutzerdefinierte Domain in API Gateway
<a name="apigateway-custom-domain-tls-version"></a>

Eine *Sicherheitsrichtlinie* ist eine vordefinierte Kombination aus einer minimalen TLS-Version und Verschlüsselungssuites, die von API Gateway angeboten werden. Wenn Ihre Clients einen TLS-Handshake mit Ihrer API oder Ihrem benutzerdefinierten Domain-Namen erfordern, setzt die Sicherheitsrichtlinie die TLS-Version und die Verschlüsselungssuite durch, die von API Gateway akzeptiert werden. Sicherheitsrichtlinien schützen Ihre APIs und benutzerdefinierte Domainnamen vor Netzwerksicherheitsproblemen wie Manipulation und Abhören zwischen einem Client und einem Server.

API Gateway unterstützt ältere Sicherheitsrichtlinien und erweiterte Sicherheitsrichtlinien. `TLS_1_0`und `TLS_1_2` sind veraltete Sicherheitsrichtlinien. Verwenden Sie diese Sicherheitsrichtlinien für allgemeine Workloads oder um mit der Erstellung einer API zu beginnen. Jede Richtlinie, die mit beginnt, `SecurityPolicy_` ist eine erweiterte Sicherheitsrichtlinie. Sie können diese Richtlinien für regulierte Workloads, erweiterte Governance oder die Verwendung von Post-Quanten-Kryptographie verwenden. Wenn Sie eine optimierte Sicherheitsrichtlinie verwenden, müssen Sie auch den Endpunktzugriffsmodus festlegen, um zusätzliche Governance bereitzustellen. Weitere Informationen finden Sie unter [Endpunktzugriffsmodus](apigateway-security-policies.md#apigateway-security-policies-endpoint-access-mode).

## Überlegungen
<a name="apigateway-custom-domain-tls-version-considerations"></a>

Im Folgenden finden Sie Überlegungen zu Sicherheitsrichtlinien für benutzerdefinierte Domainnamen für REST APIs in API Gateway:
+ Sie können Mutual TLS nicht für einen Domainnamen aktivieren, der eine erweiterte Sicherheitsrichtlinie verwendet.
+ Sie können einem Domainnamen, der eine erweiterte Sicherheitsrichtlinie verwendet, keine HTTP-API zuordnen.
+ Wenn Sie die mehrstufige Basispfadzuordnung zu einer REST-API aktivieren, die eine erweiterte Sicherheitsrichtlinie verwendet, können Sie keine Basispfadzuordnung zu einer HTTP-API für denselben Domainnamen erstellen.
+ Ihre API kann einem benutzerdefinierten Domainnamen mit einer anderen Sicherheitsrichtlinie als Ihrer API zugeordnet werden. Wenn Sie diesen benutzerdefinierten Domainnamen aufrufen, verwendet API Gateway die Sicherheitsrichtlinie der API, um den TLS-Handshake auszuhandeln. Wenn Sie Ihren Standard-API-Endpunkt deaktivieren, kann dies die Art und Weise beeinflussen, wie Aufrufer Ihre API aufrufen können.
+ API Gateway unterstützt Sicherheitsrichtlinien für alle APIs. Sie können jedoch nur eine Sicherheitsrichtlinie für REST auswählen APIs. API Gateway unterstützt nur die `TLS_1_2` Sicherheitsrichtlinie für HTTP oder WebSocket APIs.
+ API Gateway unterstützt nicht die Aktualisierung einer Sicherheitsrichtlinie für einen Domainnamen mit mehreren Endpunkttypen. Wenn Sie mehrere Endpunkttypen für einen Domainnamen haben, löschen Sie einen davon, um die Sicherheitsrichtlinie zu aktualisieren.

## Wie API Gateway Sicherheitsrichtlinien anwendet
<a name="apigateway-custom-domain-tls-version-understanding"></a>

Das folgende Beispiel zeigt am Beispiel der Sicherheitsrichtlinie, wie API Gateway `SecurityPolicy_TLS13_1_3_2025_09` Sicherheitsrichtlinien anwendet.

Die `SecurityPolicy_TLS13_1_3_2025_09` Sicherheitsrichtlinie akzeptiert TLS 1.3-Verkehr und lehnt TLS 1.2- und TLS 1.0-Verkehr ab. Für TLS 1.3-Verkehr akzeptiert die Sicherheitsrichtlinie die folgenden Verschlüsselungssammlungen:
+ `TLS_AES_128_GCM_SHA256`
+ `TLS_AES_256_GCM_SHA384`
+ `TLS_CHACHA20_POLY1305_SHA256`

API Gateway akzeptiert keine anderen Cipher Suites. Zum Beispiel würde die Sicherheitsrichtlinie jeglichen TLS 1.3-Verkehr ablehnen, der die `AES128-SHA` Cipher Suite verwendet.

Um zu überwachen, welches TLS-Protokoll und welche Chiffren Clients für den Zugriff auf Ihr API Gateway verwendet haben, können Sie die `$context.cipherSuite` Kontextvariablen `$context.tlsVersion` und in Ihren Zugriffsprotokollen verwenden. Weitere Informationen finden Sie unter [REST APIs in API Gateway überwachen](rest-api-monitor.md).

Die Standardsicherheitsrichtlinien für alle REST APIs - und benutzerdefinierten Domainnamen finden Sie unter. [Standard-Sicherheitsrichtlinien](apigateway-security-policies-list.md#apigateway-security-policies-default) Informationen zu den unterstützten Sicherheitsrichtlinien für alle REST APIs - und benutzerdefinierten Domainnamen finden Sie unter[Unterstützte Sicherheitsrichtlinien](apigateway-security-policies-list.md).

## Ändern Sie die Sicherheitsrichtlinie Ihres benutzerdefinierten Domainnamens
<a name="apigateway-security-policies-update-custom-domain-name"></a>

Wenn Sie Ihre Sicherheitsrichtlinie ändern, dauert es etwa 15 Minuten, bis das Update abgeschlossen ist. Sie können den Wert `lastUpdateStatus` Ihres benutzerdefinierten Domainnamens überwachen. Wenn Ihr benutzerdefinierter Domainname aktualisiert wird, `lastUpdateStatus` ist er `PENDING` und wenn er abgeschlossen ist, wird er es auch sein`AVAILABLE`.

Wenn Sie eine Sicherheitsrichtlinie verwenden, die mit beginnt`SecurityPolicy_`, müssen Sie auch den Endpunktzugriffsmodus aktivieren. Weitere Informationen finden Sie unter [Endpunktzugriffsmodus](apigateway-security-policies.md#apigateway-security-policies-endpoint-access-mode).

------
#### [ AWS-Managementkonsole ]

**Um die Sicherheitsrichtlinie eines benutzerdefinierten Domänennamens zu ändern**

1. Melden Sie sich bei der API Gateway Gateway-Konsole unter [https://console.aws.amazon.com/apigatewayan](https://console.aws.amazon.com/apigateway).

1. Wählen Sie einen benutzerdefinierten Domainnamen, der Traffic an REST sendet. APIs

   Stellen Sie sicher, dass Ihrem benutzerdefinierten Domainnamen nur ein Endpunkttyp zugeordnet ist.

1. Wählen Sie **Benutzerdefinierte Domainnamen-Einstellungen** und dann **Bearbeiten** aus.

1. Wählen Sie für **Sicherheitsrichtlinie** eine neue Richtlinie aus.

1. Wählen Sie für **den Endpunktzugriffsmodus** die Option **Strict** aus.

1. Wählen Sie **Änderungen speichern ** aus.

------
#### [ AWS CLI ]

Mit dem folgenden [update-domain-name](https://docs.aws.amazon.com/cli/latest/reference/apigateway/update-domain-name.html)Befehl wird ein Domainname aktualisiert, sodass er die `SecurityPolicy_TLS13_1_3_2025_09` Sicherheitsrichtlinie verwendet:

```
aws apigateway update-domain-name \
    --domain-name example.com \
    --patch-operations '[
        {
            "op": "replace",
            "path": "/securityPolicy",
            "value": "SecurityPolicy_TLS13_1_3_2025_09"
        }, 
        {
            "op": "replace",
            "path": "/endpointAccessMode",
            "value": "STRICT"
        }
    ]'
```

Die Ausgabe sieht wie folgt aus:

```
{
   "domainName": "example.com",
   "endpointConfiguration": { 
      "types": [ "REGIONAL" ], 
      "ipAddressType": "dualstack" 
   },
   "regionalCertificateArn": "arn:aws:acm:us-west-2:111122223333:certificate/a1b2c3d4-5678-90ab-cdef",
   "securityPolicy": "SecurityPolicy_TLS13_1_3_2025_09",
   "endpointAccessMode": "STRICT"
}
```

------

## Informationen zu HTTP APIs und WebSocket APIs
<a name="apigateway-rest-additional-apis"></a>

Weitere Hinweise zu HTTP APIs und WebSocket APIs finden Sie unter [Sicherheitsrichtlinie für HTTP APIs in API Gateway](http-api-ciphers.md) und[Sicherheitsrichtlinie für WebSocket APIs in API Gateway](websocket-api-ciphers.md).