View a markdown version of this page

Unterstützte Sicherheitsrichtlinien - Amazon API Gateway
Standard-SicherheitsrichtlinienUnterstützte Sicherheitsrichtlinien für regionale und private APIs und benutzerdefinierte DomainnamenUnterstützte Sicherheitsrichtlinien für Edge-optimierte APIs und benutzerdefinierte DomainnamenOpenSSL- und RFC-Verschlüsselungsnamen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Unterstützte Sicherheitsrichtlinien

In den folgenden Tabellen werden die Sicherheitsrichtlinien beschrieben, die für jeden REST-API-Endpunkttyp und benutzerdefinierten Domainnamentyp angegeben werden können. Mit diesen Richtlinien können Sie eingehende Verbindungen steuern. API Gateway unterstützt nur TLS 1.2 beim Ausgang. Sie können die Sicherheitsrichtlinie für Ihre API oder Ihren benutzerdefinierten Domainnamen jederzeit aktualisieren.

Richtlinien, die FIPS im Titel enthalten sind, sind mit dem Federal Information Processing Standard (FIPS) kompatibel, einem Standard der US-amerikanischen und kanadischen Regierung, der die Sicherheitsanforderungen für kryptografische Module zum Schutz vertraulicher Informationen festlegt. Weitere Informationen finden Sie unter Federal Information Processing Standard (FIPS) 140 auf der Seite AWS Cloud Security Compliance.

Alle FIPS-Richtlinien nutzen das AWS-LC FIPS-validierte kryptografische Modul. Weitere Informationen finden Sie auf der Seite AWS-LC Cryptographic Module auf der Website des NIST Cryptographic Module Validation Program.

Richtlinien, die PQ im Titel enthalten sind, verwenden Post-Quantum Kryptografie (PQC), um hybride Schlüsselaustauschalgorithmen für TLS zu implementieren, um die Vertraulichkeit des Datenverkehrs vor future Bedrohungen durch Quantencomputer zu gewährleisten.

Richtlinien, die PFS im Titel enthalten sind, verwenden Perfect Forward Secrecy (PFS), um sicherzustellen, dass Sitzungsschlüssel nicht kompromittiert werden.

Richtlinien, die beides FIPS und PQ in ihrem Titel enthalten, unterstützen beide Funktionen.

Standard-Sicherheitsrichtlinien

Wenn Sie eine neue REST-API oder eine benutzerdefinierte Domain erstellen, wird der Ressource eine Standardsicherheitsrichtlinie zugewiesen. Die folgende Tabelle zeigt die Standardsicherheitsrichtlinie für diese Ressourcen.

Ressource

Name der Standard-Sicherheitsrichtlinie
Regionale APIs TLS_1_0
Edge-optimized APIs TLS_1_0
Private APIs TLS_1_2
Regionale Domäne TLS_1_2
Edge-optimized Domäne TLS_1_2
Private Domain TLS_1_2

Unterstützte Sicherheitsrichtlinien für regionale und private APIs und benutzerdefinierte Domainnamen

In der folgenden Tabelle werden die Sicherheitsrichtlinien beschrieben, die für regionale und private APIs und benutzerdefinierte Domainnamen angegeben werden können:

Sicherheitsrichtlinie

Unterstützte TLS-Versionen

Unterstützte Chiffren
SecurityPolicy_TLS13_1_3_2025_09 TLS1.3
TLS1.3

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256
SecurityPolicy_TLS13_1_3_FIPS_2025_09 TLS1.3
TLS1.3

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384
SecurityPolicy_TLS13_1_2_FIPS_PFS_PQ_2025_09

TLS1.3

TLS1.2
TLS1.3

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

TLS1.2

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES256-GCM-SHA384
SecurityPolicy_TLS13_1_2_PFS_PQ_2025_09

TLS1.3

TLS1.2
TLS1.3

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

TLS1.2

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES256-GCM-SHA384
SecurityPolicy_TLS13_1_2_PQ_2025_09

TLS1.3

TLS1.2
TLS1.3

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

TLS1.2

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA384

  • AES128-GCM-SHA256

  • AES128-SHA256

  • AES256-GCM-SHA384

  • AES256-SHA256
SecurityPolicy_TLS13_1_2_2021_06

TLS1.3

TLS1.2
TLS1.3

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

TLS1.2

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA384

  • AES128-GCM-SHA256

  • AES128-SHA256

  • AES256-GCM-SHA384

  • AES256-SHA256
TLS_1_2

TLS1.3

TLS1.2
TLS1.3

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

TLS1.2

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA384

  • AES128-GCM-SHA256

  • AES128-SHA256

  • AES256-GCM-SHA384

  • AES256-SHA256
TLS_1_0

TLS1.3

TLS1.2

TLS1.1

TLS1.0
TLS1.3

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

TLS1.0-TLS1.2

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA384

  • ECDHE-ECDSA-AES256-SHA

  • ECDHE-RSA-AES256-SHA

  • AES128-GCM-SHA256

  • AES128-SHA256

  • AES128-SHA

  • AES256-GCM-SHA384

  • AES256-SHA256

  • AES256-SHA

Unterstützte Sicherheitsrichtlinien für Edge-optimierte APIs und benutzerdefinierte Domainnamen

In der folgenden Tabelle werden die Sicherheitsrichtlinien beschrieben, die für Edge-optimierte APIs und Edge-optimierte benutzerdefinierte Domainnamen angegeben werden können:

Name der Sicherheitsrichtlinie

Unterstützte TLS-Versionen

Unterstützte Chiffren
SecurityPolicy_TLS13_2025_EDGE TLS1.3
TLS1.3

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256
SecurityPolicy_TLS12_PFS_2025_EDGE

TLS1.3

TLS1.2
TLS1.3

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

TLS1.2

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-CHACHA20-POLY1305

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-CHACHA20-POLY1305
SecurityPolicy_TLS12_2018_EDGE

TLS1.3

TLS1.2
TLS1.3

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

TLS1.2

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-CHACHA20-POLY1305

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-CHACHA20-POLY1305

  • ECDHE-RSA-AES256-SHA384
TLS_1_0

TLS1.3

TLS1.2

TLS1.1

TLS1.0
TLS1.3

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

TLS1.0-TLS1.2

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA384

  • ECDHE-ECDSA-AES256-SHA

  • ECDHE-RSA-AES256-SHA

  • AES256-SHA256

  • AES256-SHA

OpenSSL- und RFC-Verschlüsselungsnamen

OpenSSL und IETF RFC 5246 verwenden unterschiedliche Namen für die gleichen Verschlüsselungsverfahren. Die folgende Tabelle ordnet den OpenSSL-Namen dem RFC-Namen für jedes Verschlüsselungsverfahren zu. Weitere Informationen finden Sie unter Verschlüsselungen in der OpenSSL-Dokumentation.

OpenSSL-Verschlüsselungsname

RFC-Verschlüsselungsname

TLS_AES_128_GCM_SHA256

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS_CHACHA20_POLY1305_SHA256

ECDHE-RSA-AES128-GCM-SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

ECDHE-RSA-AES128-SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

ECDHE-RSA-AES128-SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

ECDHE-RSA-AES256-GCM-SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

ECDHE-RSA-AES256-SHA384

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

ECDHE-RSA-AES256-SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

AES128-GCM-SHA256

TLS_RSA_WITH_AES_128_GCM_SHA256

AES256-GCM-SHA384

TLS_RSA_WITH_AES_256_GCM_SHA384

AES128-SHA256

TLS_RSA_WITH_AES_128_CBC_SHA256

AES256-SHA

TLS_RSA_WITH_AES_256_CBC_SHA

AES128-SHA

TLS_RSA_WITH_AES_128_CBC_SHA

DES-CBC3-SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA