Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in Amazon API Gateway
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der übergreifenden Verantwortlichkeit](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für Amazon API Gateway gelten, finden Sie unter [AWS Services im Umfang nach Compliance-Programm AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Service, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation erläutert, wie das Modell der geteilten Verantwortung bei der Verwendung von API Gateway angewendet werden kann. Die folgenden Themen zeigen Ihnen, wie Sie API Gateway konfigurieren, um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie lernen auch, wie Sie andere AWS Dienste verwenden können, die Ihnen helfen, Ihre API-Gateway-Ressourcen zu überwachen und zu sichern.
Weitere Informationen finden Sie unter [Sicherheit in Amazon API Gateway](https://d1.awsstatic.com/whitepapers/api-gateway-security.pdf).
**Topics**
+ [Datenschutz in Amazon API Gateway](data-protection.md)
+ [Identitäts- und Zugriffsverwaltung für Amazon API Gateway](security-iam.md)
+ [Protokollierung und Überwachung in Amazon API Gateway](security-monitoring.md)
+ [Compliance-Validierung für Amazon API Gateway](compliance-validation.md)
+ [Zuverlässigkeit in Amazon API Gateway](disaster-recovery-resiliency.md)
+ [Infrastruktursicherheit in Amazon API Gateway](infrastructure-security.md)
+ [Schwachstellenanalyse in Amazon API Gateway](vulnerability-analysis.md)
+ [Bewährte Methoden in Amazon API Gateway](security-best-practices.md)
# Datenschutz in Amazon API Gateway
Das AWS[Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) wird auch auf den Datenschutz in Amazon API Gateway angewendet. Wie in diesem Modell beschrieben, ist AWS verantwortlich für den Schutz der globalen Infrastruktur, in der die gesamte AWS Cloud ausgeführt wird. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS-Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS-Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, AWS-Konto-Anmeldeinformationen zu schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einzurichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Verwenden Sie SSL/TLS für die Kommunikation mit AWS-Ressourcen. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit AWS CloudTrail ein. Informationen zur Verwendung von CloudTrail-Trails zur Erfassung von AWS-Aktivitäten finden Sie unter [Arbeiten mit CloudTrail-Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail-Benutzerhandbuch*.
+ Verwenden Sie AWS-Verschlüsselungslösungen zusammen mit allen Standardsicherheitskontrollen in AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff auf AWS über eine Befehlszeilenschnittstelle oder über eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit API Gateway oder anderen AWS-Services über die Konsole, API, AWS CLI oder AWS SDKs arbeiten. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
# Datenverschlüsselung in Amazon API Gateway
Datenschutz bezieht sich auf den Schutz von Daten während der Übertragung (auf dem Weg zu und von API Gateway) und im Ruhezustand (während sie in der gespeichert werde AWS).
## Datenverschlüsselung im Ruhezustand in Amazon API Gateway
Wenn Sie das Caching für eine REST-API aktivieren, können Sie die Cache-Verschlüsselung aktivieren. Weitere Informationen hierzu finden Sie unter [Cache-Einstellungen für REST APIs in API Gateway](api-gateway-caching.md).
Weitere Informationen zum Datenschutz enthält der Blog-Beitrag [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS-Sicherheitsblog*.
### Verschlüsselung und Entschlüsselung Ihres privaten Zertifikatschlüssels
Wenn Sie einen benutzerdefinierten Domainnamen für private APIs erstellen, werden Ihr ACM-Zertifikat und Ihr privater Schlüssel mithilfe eines AWS-verwalteten KMS-Schlüssels mit dem Alias **aws/acm** verschlüsselt. Sie können die Schlüssel-ID mit diesem Alias in der AWS KMS-Konsole unter **AWS-verwaltete Schlüssel** einsehen.
API Gateway greift nicht direkt auf Ihre ACM-Ressourcen zu. Es verwendet den TLS Connection Manager von AWS, um die privaten Schlüssel für Ihr Zertifikat zu sichern und auf sie zuzugreifen. Wenn Sie Ihr ACM-Zertifikat verwenden, um einen benutzerdefinierten API-Gateway-Domainnamen für private APIs zu erstellen, ordnet API Gateway Ihr Zertifikat dem TLS Connection Manager von AWS zu. Dazu erstellen Sie eine Erteilung unter AWS KMS gegenüber Ihrem AWS-verwalteten Schlüssel mit dem Präfix **aws/acm**. Eine Erteilung ist ein Richtlinieninstrument, das es TLS Connection Manager erlaubt, KMS-Schlüssel in kryptografischen Operationen zu verwenden. Die Erteilung erlaubt es dem Empfänger-Prinzipal (TLS Connection Manager), die angegebenen Genehmigungsoperationen für den KMS-Schlüssel aufzurufen, um den privaten Schlüssel Ihres Zertifikats zu entschlüsseln. TLS Connection Manager verwendet dann das Zertifikat und den entschlüsselten privaten (Klartext) Schlüssel für den Aufbau einer sicheren Verbindung (SSL/TLS-Sitzung) mit Kunden von API-Gateway-Diensten. Die Erteilung wird außer Betrieb genommen, wenn das Zertifikat von einem benutzerdefinierten API-Gateway-Domainnamen für private APIs getrennt wird.
Wenn Sie den Zugriff auf den KMS-Schlüssel deaktivieren möchten, sollten Sie das Zertifikat mithilfe des AWS-Managementkonsole- oder `update-service`-Befehls im Dienst zu ersetzen oder zu entfernen.
### Verschlüsselungskontext für API Gateway
Ein [Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) ist ein optionaler Satz von Schlüssel-Wert-Paaren, die Kontextinformationen zur möglichen Verwendung Ihres privaten Schlüssels enthalten. AWS KMS bindet den Verschlüsselungskontext an die verschlüsselten Daten und verwendet diese als zusätzliche Authentifizierungsdaten zur Unterstützung der authentifizierten Verschlüsselung.
Wenn Ihre TLS-Schlüssel mit API Gateway und TLS Connection Manager verwendet werden, wird der Name Ihres API-Gateway-Dienstes im Verschlüsselungskontext aufgenommen, der zur Verschlüsselung Ihres Schlüssels im Ruhezustand verwendet wird. Sie können überprüfen, für welchen benutzerdefinierten API-Gateway-Domainnamen Ihr Zertifikat und Ihr privater Schlüssel verwendet werden, indem Sie den Verschlüsselungskontext in Ihren CloudTrail-Protokollen wie im nächsten Abschnitt gezeigt einsehen, oder indem Sie in der ACM-Konsole die Registerkarte **Zugeordnete Ressourcen** einsehen.
Zur Entschlüsselung von Daten wird derselbe Verschlüsselungskontext in der Anforderung übergeben. API Gateway verwendet denselben Verschlüsselungskontext in allen kryptografischen AWS-KMS-Operationen, wobei der Schlüssel `aws:apigateway:arn` ist und der Wert des Amazon-Ressourcennamens (ARN) der API-Gateway-Ressource `PrivateDomainName` ist.
Im folgenden Beispiel sehen Sie den Verschlüsselungskontext in der Ausgabe einer Operation wie `CreateGrant`.
```
"constraints": {
"encryptionContextEquals": {
"aws:acm:arn": "arn:aws:acm:us-west-2:859412291086:certificate/9177097a-f0ae-4be1-93b1-19f911ea4f88",
"aws:apigateway:arn": "arn:aws:apigateway:us-west-2:859412291086:/domainnames/denytest-part1.pdx.sahig.people.aws.dev+cbaeumzjhg"
}
},
"operations": [
"Decrypt"
],
"granteePrincipal": "tlsconnectionmanager.amazonaws.com"
```
## Datenverschlüsselung während der Übertragung in Amazon API Gateway
Die mit Amazon API Gateway erstellten APIs stellen HTTPS-Endpunkte dar. API Gateway unterstützt keine unverschlüsselten Endpunkte (HTTP).
API Gateway verwaltet die Zertifikate für `execute-api`-Standardendpunkte. Wenn Sie einen benutzerdefinierten Domainnamen konfigurieren, [geben Sie das Zertifikat für den Domainnamen](how-to-custom-domains.md#custom-domain-names-certificates) an. Als bewährte Methode sollten Sie keine [PIN-Zertifikate verwenden](https://docs.aws.amazon.com/acm/latest/userguide/troubleshooting-pinning.html).
Für mehr Sicherheit können Sie eine Mindestversion des TLS-Protokolls (Transport Layer Security) auswählen, die für Ihre benutzerdefinierte API Gateway-Domäne durchgesetzt wird. WebSocket-APIs und HTTP-APIs unterstützen nur TLS 1.2. Weitere Informationen hierzu finden Sie unter [Wählen Sie eine Sicherheitsrichtlinie für Ihre benutzerdefinierte Domain in API Gateway](apigateway-custom-domain-tls-version.md).
Sie können außerdem eine Amazon CloudFront-Distribution mit einem benutzerdefinierten SSL-Zertifikat in Ihrem Konto einrichten und diese mit regionalen APIs verwenden. Anschließend können Sie die Sicherheitsrichtlinie für die CloudFront-Verteilung mit TLS 1.1 oder höher entsprechend Ihren Sicherheits- und Compliance-Anfragen konfigurieren.
Weitere Informationen zum Datenschutz enthält [Schützen Sie Ihren REST APIs in API Gateway](rest-api-protect.md) und der Blog-Beitrag [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS-Sicherheitsblog*.
# Richtlinie für den Datenverkehr zwischen Netzwerken
Mit Amazon API Gateway können Sie private REST-APIs erstellen, auf die nur von Ihrer Amazon Virtual Private Cloud (VPC) aus zugegriffen werden kann. Die VPC verwendet einen [Schnittstellen-VPC-Endpunkt](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html), bei dem es sich um eine Endpunkt-Netzwerkschnittstelle handelt, die Sie in Ihrer VPC erstellen. Mithilfe von [Ressourcen-Richtlinien](apigateway-private-api-create.md#apigateway-private-api-set-up-resource-policy) können Sie den Zugriff auf Ihre API von aus ausgewählten VPCs und VPC-Endpunkten erlauben oder verweigern, darunter auch über AWS-Konten. Jeder Endpunkt kann für den Zugriff auf mehrere APIs verwendet werden. Sie können mit Direct Connect auch eine Verbindung von einem On-Premises-Netzwerk zu Amazon VPC herstellen und über diese Verbindung auf Ihre private API zugreifen. In allen Fällen verwendet der Datenverkehr zu Ihrer privaten API eine sichere Verbindung und verlässt nicht das Amazon-Netzwerk. Er ist vom öffentlichen Internet isoliert. Weitere Informationen hierzu finden Sie unter [Privates REST APIs im API Gateway](apigateway-private-apis.md).
# Identitäts- und Zugriffsverwaltung für Amazon API Gateway
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAM-Administratoren steuern, wer *authentifiziert* werden kann (d. h. wer sich anmelden kann) und wer *autorisiert* werden kann (d. h. wer Berechtigungen erhalten kann), um API Gateway-Ressourcen zu nutzen. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [Funktionsweise von Amazon API Gateway mit IAM](security_iam_service-with-iam.md)
+ [Beispiele für identitätsbasierte Amazon API Gateway-Richtlinien](security_iam_id-based-policy-examples.md)
+ [Beispiele für ressourcenbasierte Richtlinien für Amazon API Gateway](security_iam_resource-based-policy-examples.md)
+ [Fehlerbehebung bei Amazon API Gateway-Identität und -Zugriff](security_iam_troubleshoot.md)
+ [Verwenden von serviceverknüpften Rollen für API Gateway](using-service-linked-roles.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei Amazon API Gateway-Identität und -Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [Funktionsweise von Amazon API Gateway mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Amazon API Gateway-Richtlinien](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) verwenden müssen.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) oder indem Sie eine AWS Oder-API-Operation AWS CLI aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Zugriffskontrolllisten () ACLs
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
Amazon S3 und Amazon VPC sind Beispiele für Dienste, die Unterstützung ACLs bieten. AWS WAF Weitere Informationen finden Sie unter [Übersicht über ACLs die Zugriffskontrollliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service Developer Guide*.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die sich daraus ergebenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# Funktionsweise von Amazon API Gateway mit IAM
Bevor Sie mit IAM den Zugriff auf API Gateway verwalten können, sollten Sie sich darüber informieren, welche IAM-Funktionen Sie mit API Gateway verwenden können. Einen allgemeinen Überblick darüber, wie API Gateway und andere AWS Dienste mit IAM funktionieren, finden Sie unter [AWS Services That Work with IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Identitätsbasierte API-Gateway-Richtlinien](#security_iam_service-with-iam-id-based-policies)
+ [Ressourcenbasierte API Gateway-Richtlinien](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisierung basierend auf API Gateway-Tags](#security_iam_service-with-iam-tags)
+ [API Gateway-IAM-Rollen](#security_iam_service-with-iam-roles)
## Identitätsbasierte API-Gateway-Richtlinien
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. API Gateway unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Weitere Informationen zu den API-Gateway-spezifischen Aktionen, Ressourcen und Bedingungsschlüsseln finden Sie im Abschnitt [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon-API-Gateway-Management](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonapigatewaymanagement.html) und [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon-API-Gateway-Management V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonapigatewaymanagementv2.html). Informationen zu allen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
Das folgende Beispiel zeigt eine identitätsbasierte Richtlinie, die es einem Benutzer ermöglicht, nur private REST zu erstellen oder zu aktualisieren. APIs Weitere Beispiele finden Sie unter [Beispiele für identitätsbasierte Amazon API Gateway-Richtlinien](security_iam_id-based-policy-examples.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ScopeToPrivateApis",
"Effect": "Allow",
"Action": [
"apigateway:PATCH",
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/restapis",
"arn:aws:apigateway:us-east-1::/restapis/??????????"
],
"Condition": {
"ForAllValues:StringEqualsIfExists": {
"apigateway:Request/EndpointType": "PRIVATE",
"apigateway:Resource/EndpointType": "PRIVATE"
}
}
},
{
"Sid": "AllowResourcePolicyUpdates",
"Effect": "Allow",
"Action": [
"apigateway:UpdateRestApiPolicy"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/restapis/*"
]
}
]
}
```
------
### Aktionen
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie in einer Richtlinie den Zugriff erlauben oder verweigern können.
Richtlinienaktionen in API Gateway verwenden das folgende Präfix vor der Aktion: `apigateway:`. Richtlinienanweisungen müssen entweder ein `Action`- oder ein `NotAction`-Element enthalten. API Gateway definiert eine eigene Gruppe von Aktionen, die Aufgaben beschreiben, die Sie mit diesem Service durchführen können.
Der `Action` API-Verwaltungsausdruck hat das Format`apigateway:action`, in dem eine der folgenden API-Gateway-Aktionen *action* steht: **GET**, **POST**, **PUT**, **DELETE**, **PATCH** (um Ressourcen zu aktualisieren) oder **\$1**, was alle vorherigen Aktionen sind.
Einige Beispiele für den `Action`-Ausdruck sind:
+ **apigateway:\$1** für alle API Gateway-Aktionen.
+ **apigateway:GET** nur für die GET-Aktion in API Gateway.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:
```
"Action": [
"apigateway:action1",
"apigateway:action2"
```
Informationen zu HTTP-Verben, die für bestimmte API Gateway-Operationen verwendet werden können, finden Sie unter [Amazon API Gateway Version 1 API-Referenz](https://docs.aws.amazon.com/apigateway/api-reference/) (REST APIs) und [Amazon API Gateway Version 2 API-Referenz](https://docs.aws.amazon.com/apigatewayv2/latest/api-reference/api-reference.html) (WebSocket und HTTP APIs).
Weitere Informationen finden Sie unter [Beispiele für identitätsbasierte Amazon API Gateway-Richtlinien](security_iam_id-based-policy-examples.md).
### Ressourcen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
API Gateway-Ressourcen verfügen über das folgende ARN-Format:
```
arn:aws:apigateway:region::resource-path-specifier
```
Um beispielsweise eine REST-API mit der ID *`api-id`* und ihren Unterressourcen, wie Autorisierern in Ihrer Anweisung, anzugeben, verwenden Sie den folgenden ARN:
```
"Resource": "arn:aws:apigateway:us-east-2::/restapis/api-id/*"
```
Um alle REST APIs - und Unterressourcen anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (\$1):
```
"Resource": "arn:aws:apigateway:us-east-2::/restapis/*"
```
Eine Liste der API-Gateway-Ressourcentypen und ihrer ARNs Typen finden Sie unter[Referenz zu API Gateway Amazon-Ressourcenname (ARN)](arn-format-reference.md).
### Bedingungsschlüssel
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
API Gateway definiert einen eigenen Satz von Bedingungsschlüsseln und unterstützt auch einige globale Bedingungsschlüssel. Eine Liste der API Gateway-Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für Amazon API Gateway](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_manageamazonapigateway.html#manageamazonapigateway-policy-keys) im *IAM-Benutzerhandbuch*. Informationen zu den Aktionen und Ressourcen, die Sie mit einem Bedingungsschlüssel verwenden können, finden Sie unter [Von Amazon API Gateway definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_manageamazonapigateway.html#amazonapigateway-actions-as-permissions).
Informationen zur Markierung, einschließlich attributbasierter Zugriffskontrolle, finden Sie unter [API Gateway-Ressourcen taggen](apigateway-tagging.md).
### Beispiele
Beispiele für identitätsbasierte API Gateway-Richtlinien finden Sie unter [Beispiele für identitätsbasierte Amazon API Gateway-Richtlinien](security_iam_id-based-policy-examples.md).
## Ressourcenbasierte API Gateway-Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die angeben, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für die API Gateway-Ressource ausführen kann. API Gateway unterstützt ressourcenbasierte Berechtigungsrichtlinien für REST. APIs Sie verwenden Ressourcenrichtlinien, um zu steuern, wer eine REST-API aufrufen kann. Weitere Informationen finden Sie unter [Zugriff auf eine REST-API mit API Gateway-Ressourcenrichtlinien steuern](apigateway-resource-policies.md).
### Beispiele
Beispiele für ressourcenbasierte API Gateway-Richtlinien finden Sie unter [Beispiele für API Gateway-Ressourcenrichtlinien](apigateway-resource-policies-examples.md).
## Autorisierung basierend auf API Gateway-Tags
Sie können Tags an API Gateway-Ressourcen anfügen oder Tags in einer Anforderung an API Gateway übergeben. Um den Zugriff basierend auf Tags zu steuern, stellen Sie Tag-Informationen im [Bedingungselement](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) einer Richtlinie unter Verwendung der Bedingungsschlüssel `apigateway:ResourceTag/key-name`, `aws:RequestTag/key-name` oder `aws:TagKeys` bereit. Weitere Informationen über das Markieren mit Tags von API Gateway-Ressourcen finden Sie unter [Tags zur Steuerung des Zugriffs auf API Gateway-REST-API-Ressourcen verwenden](apigateway-tagging-iam-policy.md).
Beispiele für identitätsbasierte Richtlinien zur Einschränkung des Zugriffs auf eine Ressource auf der Grundlage der Tags dieser Ressource finden Sie unter [Tags zur Steuerung des Zugriffs auf API Gateway-REST-API-Ressourcen verwenden](apigateway-tagging-iam-policy.md).
## API Gateway-IAM-Rollen
Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität innerhalb Ihres AWS Kontos, die über bestimmte Berechtigungen verfügt.
### Verwenden temporärer Anmeldeinformationen mit API Gateway
Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)aufrufen.
API Gateway unterstützt die Verwendung temporärer Anmeldeinformationen.
### Service-verknüpfte Rollen
Mit [dienstbezogenen Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) können AWS Dienste auf Ressourcen in anderen Diensten zugreifen, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.
API Gateway unterstützt serviceverknüpfte Rollen. Informationen zum Erstellen oder Verwalten von serviceverknüpften API Gateway-Rollen finden Sie unter [Verwenden von serviceverknüpften Rollen für API Gateway](using-service-linked-roles.md).
### Servicerollen
Ein Service kann in Ihrem Namen eine [Service-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) annehmen. Eine Service-Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Services, um eine Aktion in Ihrem Namen auszuführen. Service-Rollen werden in Ihrem IAM-Konto angezeigt und gehören dem Konto, sodass ein Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.
API Gateway unterstützt Servicerollen.
# Beispiele für identitätsbasierte Amazon API Gateway-Richtlinien
Standardmäßig verfügen IAM-Benutzer und -Rollen nicht über die Berechtigung zum Erstellen oder Ändern von API Gateway-Ressourcen. Sie können auch keine Aufgaben mit dem AWS-Managementkonsole AWS CLI, oder AWS SDKs ausführen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den IAM-Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.
Informationen zum Erstellen von IAM-Richtlinien finden Sie unter [Erstellen von Richtlinien im JSON-Reiter](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*. Weitere Informationen zu den Aktionen, Ressourcen und Bedingungen, die für API Gateway spezifisch sind, finden Sie im Abschnitt [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon-API-Gateway-Management](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonapigatewaymanagement.html) und [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon-API-Gateway-Management V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonapigatewaymanagementv2.html).
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Einfache Leseberechtigungen](#api-gateway-policy-example-apigateway-general)
+ [Nur REQUEST- oder JWT-Autorisierer erstellen](#security_iam_id-based-policy-examples-v2-import)
+ [Erfordern, dass der `execute-api`-Standard-Endpunkt deaktiviert ist](#security_iam_id-based-policy-examples-v2-endpoint-status)
+ [Erlauben Sie Benutzern, nur private REST-Dateien zu erstellen oder zu aktualisieren APIs](#security_iam_id-based-policy-examples-private-api)
+ [Erfordern, dass API-Routen Autorisierung haben](#security_iam_id-based-policy-examples-require-authorization)
+ [Verhindern Sie, dass ein Benutzer einen VPC-Link erstellt oder aktualisiert](#security_iam_id-based-policy-examples-deny-vpc-link)
+ [Beispielrichtlinien für die Verwendung von Routing-Regeln](#security_iam_id-based-policy-examples-routing-mode)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien können festlegen, ob jemand API-Gateway-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder daraus löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API oder. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Einfache Leseberechtigungen
Diese Beispielrichtlinie gibt einem Benutzer die Erlaubnis, Informationen über alle Ressourcen eines HTTP- oder WebSocket API-Codes mit der ID `a123456789` in der AWS Region us-east-1 abzurufen. Die Ressource `arn:aws:apigateway:us-east-1::/apis/a123456789/*` umfasst alle Unterressourcen der API, wie Autorisierer und Bereitstellungen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"apigateway:GET"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/apis/a123456789/*"
]
}
]
}
```
------
## Nur REQUEST- oder JWT-Autorisierer erstellen
[Diese Beispielrichtlinie ermöglicht es einem Benutzer, nur APIs mit `REQUEST` oder mit `JWT` Autorisierern zu erstellen, auch durch Import.](https://docs.aws.amazon.com/apigatewayv2/latest/api-reference/apis.html#ImportApi) Im `Resource`-Abschnitt der Richtlinie `arn:aws:apigateway:us-east-1::/apis/??????????` ist festgelegt, dass Ressourcen maximal 10 Zeichen haben, was Unterressourcen einer API ausschließt. Dieses Beispiel verwenden `ForAllValues` im `Condition`-Abschnitt, da Benutzer mehrere Autorisierer gleichzeitig erstellen können, indem sie eine API importieren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "OnlyAllowSomeAuthorizerTypes",
"Effect": "Allow",
"Action": [
"apigateway:PUT",
"apigateway:POST",
"apigateway:PATCH"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/apis",
"arn:aws:apigateway:us-east-1::/apis/??????????",
"arn:aws:apigateway:us-east-1::/apis/*/authorizers",
"arn:aws:apigateway:us-east-1::/apis/*/authorizers/*"
],
"Condition": {
"ForAllValues:StringEqualsIfExists": {
"apigateway:Request/AuthorizerType": [
"REQUEST",
"JWT"
]
}
}
}
]
}
```
------
## Erfordern, dass der `execute-api`-Standard-Endpunkt deaktiviert ist
Diese Beispielrichtlinie ermöglicht es Benutzern, eine API mit der Anforderung, dass `DisableExecuteApiEndpoint` `true` ist, zu erstellen, zu aktualisieren oder zu importieren. Wenn `DisableExecuteApiEndpoint` `true` ist, können Clients den `execute-api`-Standard-Endpunkt nicht zum Aufrufen einer API verwenden.
Wir verwenden die `BoolIfExists`-Bedingung, um einen Aufruf zur Aktualisierung einer API zu bearbeiten, für die der `DisableExecuteApiEndpoint`-Bedingungsschlüssel nicht ausgefüllt ist. Wenn ein Benutzer versucht, eine API zu erstellen oder zu importieren, wird der `DisableExecuteApiEndpoint`-Bedingungsschlüssel immer ausgefüllt.
Da die `apis/*` Ressource auch Unterressourcen wie Autorisierer oder Methoden erfasst, beschränken wir sie ausdrücklich nur APIs auf eine Anweisung. `Deny`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DisableExecuteApiEndpoint",
"Effect": "Allow",
"Action": [
"apigateway:PATCH",
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/apis",
"arn:aws:apigateway:us-east-1::/apis/*"
],
"Condition": {
"BoolIfExists": {
"apigateway:Request/DisableExecuteApiEndpoint": true
}
}
},
{
"Sid": "ScopeDownToJustApis",
"Effect": "Deny",
"Action": [
"apigateway:PATCH",
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/apis/*/*"
]
}
]
}
```
------
## Erlauben Sie Benutzern, nur private REST-Dateien zu erstellen oder zu aktualisieren APIs
Diese Beispielrichtlinie verwendet Bedingungsschlüssel, um zu verlangen, dass ein Benutzer nur etwas erstellt `PRIVATE` APIs, und um zu verhindern, dass Updates, die eine API von `PRIVATE` einem anderen Typ ändern könnten, wie `REGIONAL` z.
Wir verwenden `ForAllValues`, um zu verlangen, dass jeder `EndpointType`, der einer API hinzugefügt wird, `PRIVATE` ist. Wir verwenden einen Ressourcenbedingungsschlüssel, um jedes Update für eine API zu ermöglichen, solange es `PRIVATE` ist. `ForAllValues` gilt nur, wenn ein Bedingungsschlüssel vorhanden ist.
Wir verwenden den Non-Greedy Matcher (`?`) für einen expliziten Abgleich mit der API, um zu verhindern, dass Ressourcen, die nicht IDs zur API gehören, wie Autorisierer, zugelassen werden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ScopePutToPrivateApis",
"Effect": "Allow",
"Action": [
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/restapis",
"arn:aws:apigateway:us-east-1::/restapis/??????????"
],
"Condition": {
"ForAllValues:StringEquals": {
"apigateway:Resource/EndpointType": "PRIVATE"
}
}
},
{
"Sid": "ScopeToPrivateApis",
"Effect": "Allow",
"Action": [
"apigateway:DELETE",
"apigateway:PATCH",
"apigateway:POST"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/restapis",
"arn:aws:apigateway:us-east-1::/restapis/??????????"
],
"Condition": {
"ForAllValues:StringEquals": {
"apigateway:Request/EndpointType": "PRIVATE",
"apigateway:Resource/EndpointType": "PRIVATE"
}
}
},
{
"Sid": "AllowResourcePolicyUpdates",
"Effect": "Allow",
"Action": [
"apigateway:UpdateRestApiPolicy"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/restapis/*"
]
}
]
}
```
------
## Erfordern, dass API-Routen Autorisierung haben
Diese Richtlinie führt dazu, dass Versuche, eine Route zu erstellen oder zu aktualisieren (einschließlich durch [Import](https://docs.aws.amazon.com/apigatewayv2/latest/api-reference/apis.html#ImportApi)), fehlschlagen, wenn die Route keine Autorisierung hat. `ForAnyValue` wird als „false“ ausgewertet, wenn der Schlüssel nicht vorhanden ist, z. B. wenn eine Route nicht erstellt oder aktualisiert wird. Wir verwenden `ForAnyValue`, da durch den Import mehrere Routen erstellt werden können.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUpdatesOnApisAndRoutes",
"Effect": "Allow",
"Action": [
"apigateway:POST",
"apigateway:PATCH",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/apis",
"arn:aws:apigateway:us-east-1::/apis/??????????",
"arn:aws:apigateway:us-east-1::/apis/*/routes",
"arn:aws:apigateway:us-east-1::/apis/*/routes/*"
]
},
{
"Sid": "DenyUnauthorizedRoutes",
"Effect": "Deny",
"Action": [
"apigateway:POST",
"apigateway:PATCH",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/apis",
"arn:aws:apigateway:us-east-1::/apis/*"
],
"Condition": {
"ForAnyValue:StringEqualsIgnoreCase": {
"apigateway:Request/RouteAuthorizationType": "NONE"
}
}
}
]
}
```
------
## Verhindern Sie, dass ein Benutzer einen VPC-Link erstellt oder aktualisiert
Diese Richtlinie verhindert, dass ein Benutzer einen VPC-Link erstellt oder aktualisiert. Ein VPC-Link ermöglicht es Ihnen, Ressourcen innerhalb einer Amazon VPC an Clients außerhalb der VPC bereitzustellen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyVPCLink",
"Effect": "Deny",
"Action": [
"apigateway:POST",
"apigateway:PUT",
"apigateway:PATCH"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/vpclinks",
"arn:aws:apigateway:us-east-1::/vpclinks/*"
]
}
]
}
```
------
## Beispielrichtlinien für die Verwendung von Routing-Regeln
Die folgenden Beispielrichtlinien zeigen, wie Sie mithilfe der RoutingRule Bedingungsschlüssel steuern können, wie Benutzer Traffic von ihren benutzerdefinierten Domainnamen zu ihrem REST weiterleiten können. APIs Sie können diese Beispiele verwenden, um detaillierte Richtlinien zu erstellen, welche Arten von Routing-Regeln Benutzer festlegen dürfen. Weitere Informationen finden Sie unter [Routing-Regeln zum Verbinden von API-Stufen mit einem benutzerdefinierten Domainnamen für REST APIs](rest-api-routing-rules.md).
### Verhindern, dass ein Benutzer die Art und Weise der Weiterleitung von Anfragen durch einen benutzerdefinierten Domainnamen ändert
Diese Richtlinie verhindert, dass ein Benutzer `BasePathMapping`, `ApiMapping` oder `RoutingRule` erstellt oder aktualisiert. All diese Ressourcen können die Art und Weise ändern, an die ein benutzerdefinierter Domainname Anfragen weiterleitet APIs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyAccessBasePathMappingsApiMappingsRoutingRules",
"Effect": "Deny",
"Action": "apigateway:*",
"Resource": [
"arn:aws:apigateway:us-east-1::/domainnames/example.com/basepathmappings/*",
"arn:aws:apigateway:us-east-1::/domainnames/example.com/apimappings/*",
"arn:aws:apigateway:us-east-1:111122223333:/domainnames/example.com/routingrules/*"
]
}
]
}
```
------
### Benutzern erlauben, eine Routing-Regel für bestimmte Prioritäten zu aktualisieren
Diese Richtlinie erlaubt einem Benutzer nur, eine Routing-Regel auf eine Priorität zwischen 1 001 und 2 000 zu aktualisieren. Sie können diese Regel verwenden, um Ihre Produktionsregeln von Regeln mit niedrigerer Priorität zu trennen und Benutzern zu erlauben, Regeln mit niedrigerer Priorität zu ändern, ohne dass dies Auswirkungen auf die Produktionsregeln hat.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "UpdatingRoutingRulePriorityBetween1001And2000",
"Effect": "Allow",
"Action": "apigateway:UpdateRoutingRule",
"Resource": "arn:aws:apigateway:us-east-1:111122223333:/domainnames/example.com/routingrules/*",
"Condition": {
"NumericGreaterThanEquals": {
"apigateway:Resource/Priority": 1001,
"apigateway:Request/Priority": 1001
},
"NumericLessThanEquals": {
"apigateway:Resource/Priority": 2000,
"apigateway:Request/Priority": 2000
}
}
}
]
}
```
------
### Benutzern erlauben, eine Routing-Regel oder eine Basispfadzuweisung für einen bestimmten Basispfadwert zu aktualisieren
Diese Richtlinie erlaubt es einem Benutzer nur, eine Basispfadzuweisung für jeden Basispfad zu aktualisieren, der mit `orders` beginnt, oder eine Routing-Regel zu aktualisieren, die zu einem Basispfad passt, der mit `orders` beginnt. Aufgrund dieser Richtlinie kann ein Benutzer eine Basispfadzuweisung oder eine Routing-Regel für `orders/create` oder `orders123` aktualisieren, aber nicht für `payment/orders`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUpdateRoutingRuleUnderPathOrders",
"Effect": "Allow",
"Action": "apigateway:UpdateRoutingRule",
"Resource": "arn:aws:apigateway:us-east-1:111122223333:/domainnames/example.com/routingrules/*",
"Condition": {
"ForAllValues:StringLike": {
"apigateway:Request/ConditionBasePaths": ["orders*"],
"apigateway:Resource/ConditionBasePaths": ["orders*"]
},
"Null":{
"apigateway:Request/ConditionBasePaths":"false",
"apigateway:Resource/ConditionBasePaths":"false"
}
}
}
]
}
```
------
### Benutzern erlauben, den Routing-Modus auf bestimmte Werte zu aktualisieren
Diese Richtlinie erlaubt einem Benutzer, nur den Routing-Modus auf `API_MAPPING_ONLY` oder `ROUTING_RULE_THEN_API_MAPPING` zu aktualisieren. Weitere Informationen zum Routing-Modus finden Sie unter [Festlegen des Routing-Modus für Ihren benutzerdefinierten Domainnamen](set-routing-mode.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUpdateRoutingModeToAnythingWithApiMapping",
"Effect": "Allow",
"Action": ["apigateway:PATCH"],
"Resource": "arn:aws:apigateway:us-east-1::/domainnames/example.com",
"Condition": {
"StringLike": {
"apigateway:Request/RoutingMode":"*API_MAPPING*"
}
}
}
]
}
```
------
# Beispiele für ressourcenbasierte Richtlinien für Amazon API Gateway
Beispiele für eine ressourcenbasierte Richtlinie finden Sie unter [Beispiele für API Gateway-Ressourcenrichtlinien](apigateway-resource-policies-examples.md).
# Fehlerbehebung bei Amazon API Gateway-Identität und -Zugriff
Diagnostizieren und beheben Sie mithilfe der folgenden Informationen gängige Probleme, die bei der Verwendung von API Gateway und IAM auftreten können.
**Topics**
+ [Ich bin nicht zur Ausführung einer Aktion in API Gateway autorisiert](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine API-Gateway-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht zur Ausführung einer Aktion in API Gateway autorisiert
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.
Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, über die Konsole Details zu einer fiktiven `my-example-widget`-Ressource anzuzeigen, jedoch nicht über `apigateway:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: apigateway:GetWidget on resource: my-example-widget because no identity-based policy allows the GetWidget action
```
In diesem Fall muss die Richtlinie für den Benutzer `mateojackson` aktualisiert werden, damit er mit der `apigateway:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn Sie die Fehlermeldung erhalten, dass Sie nicht zur Ausführung der Aktion „`iam:PassRole`“ autorisiert sind, müssen Ihre Richtlinien aktualisiert werden, um eine Rolle an API Gateway übergeben zu können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in API Gateway auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine API-Gateway-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen dazu, ob API Gateway diese Funktionen unterstützt, finden Sie unter [Funktionsweise von Amazon API Gateway mit IAM](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen in AWS-Konten Ihrem Besitz gewähren können, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto , dem Sie](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) gehören.*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Verwenden von serviceverknüpften Rollen für API Gateway
Amazon API Gateway verwendet AWS Identity and Access Management (IAM) [service-verknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Eine serviceverknüpfte Rolle ist ein spezieller Typ einer IAM-Rolle, die direkt mit API Gateway verknüpft ist. Dienstbezogene Rollen sind von API Gateway vordefiniert und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle vereinfacht die Einrichtung von API Gateway, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. API Gateway definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern keine andere Konfiguration festgelegt wurde, kann nur API Gateway die Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dies schützt Ihre API Gateway-Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.
Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Ja **in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
## Berechtigungen von serviceverknüpften Rollen für API Gateway
API Gateway verwendet die dienstbezogene Rolle mit dem Namen **AWSServiceRoleForAPIGateway**— Ermöglicht API Gateway, in Ihrem Namen auf Elastic Load Balancing, Amazon Data Firehose und andere Serviceressourcen zuzugreifen.
Die AWSService RoleFor APIGateway serviceverknüpfte Rolle vertraut darauf, dass die folgenden Services die Rolle übernehmen:
+ `ops.apigateway.amazonaws.com`
Die Rollenberechtigungsrichtlinie erlaubt API Gateway die Durchführung der folgenden Aktionen für die angegebenen Ressourcen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:AddListenerCertificates",
"elasticloadbalancing:RemoveListenerCertificates",
"elasticloadbalancing:ModifyListener",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeLoadBalancers",
"xray:PutTraceSegments",
"xray:PutTelemetryRecords",
"xray:GetSamplingTargets",
"xray:GetSamplingRules",
"logs:CreateLogDelivery",
"logs:GetLogDelivery",
"logs:UpdateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"servicediscovery:DiscoverInstances"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/amazon-apigateway-*"
},
{
"Effect": "Allow",
"Action": [
"acm:DescribeCertificate",
"acm:GetCertificate"
],
"Resource": "arn:aws:acm:*:*:certificate/*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateNetworkInterfacePermission",
"Resource": "arn:aws:ec2:*:*:network-interface/*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"Owner",
"VpcLinkId"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DeleteNetworkInterface",
"ec2:AssignPrivateIpAddresses",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeVpcs",
"ec2:DescribeNetworkInterfacePermissions",
"ec2:UnassignPrivateIpAddresses",
"ec2:DescribeSubnets",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "servicediscovery:GetNamespace",
"Resource": "arn:aws:servicediscovery:*:*:namespace/*"
},
{
"Effect": "Allow",
"Action": "servicediscovery:GetService",
"Resource": "arn:aws:servicediscovery:*:*:service/*"
}
]
}
```
------
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen einer serviceverknüpften Rolle für API Gateway
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine API, einen benutzerdefinierten Domainnamen oder einen VPC-Link in der AWS-Managementkonsole, der oder der API erstellen AWS CLI, erstellt AWS API Gateway die serviceverknüpfte Rolle für Sie.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie eine API, einen benutzerdefinierten Domänennamen oder einen VPC-Link erstellen, erstellt API Gateway die serviceverknüpfte Rolle erneut für Sie.
## Bearbeiten einer serviceverknüpften Rolle für API Gateway
Mit API Gateway können Sie die AWSService RoleFor APIGateway dienstverknüpfte Rolle nicht bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für API Gateway
Wenn Sie eine Funktion oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
**Anmerkung**
Wenn der API Gateway-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Um API-Gateway-Ressourcen zu löschen, die von AWSService RoleFor APIGateway**
1. Öffnen Sie die API Gateway Gateway-Konsole unter [https://console.aws.amazon.com/apigateway/](https://console.aws.amazon.com/apigateway/).
1. Navigieren Sie zu der API, dem benutzerdefinierten Domänennamen oder dem VPC-Link, der die serviceverknüpfte Rolle verwendet.
1. Verwenden Sie die Konsole, um die Ressource zu löschen.
1. Wiederholen Sie den Vorgang APIs, um alle benutzerdefinierten Domänennamen oder VPC-Links zu löschen, die die dienstverknüpfte Rolle verwenden.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die dienstverknüpfte Rolle zu löschen. AWSService RoleFor APIGateway Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für serviceverknüpfte API Gateway-Rollen
API Gateway unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter [AWS -Service-Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html).
## API Gateway Gateway-Updates für AWS verwaltete Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für API Gateway an, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Um automatische Warnungen über Änderungen an dieser Seite erhalten, abonnieren Sie den RSS-Feed auf der API-Gateway-[Dokumentverlauf](history.md)-Seite.
| Änderungen | Beschreibung | Datum |
| --- | --- | --- |
| `acm:GetCertificate`-Unterstützung für `AWSServiceRoleForAPIGateway`-Richtlinien wurde hinzugefügt. | Die `AWSServiceRoleForAPIGateway`-Richtlinie enthält jetzt die Berechtigung zum Aufrufen des ACM-`GetCertificate`API-Aktion | 12. Juli 2021 |
| API Gateway hat mit der Verfolgung von Änderungen begonnen | API Gateway hat damit begonnen, Änderungen für seine AWS verwalteten Richtlinien zu verfolgen. | 12. Juli 2021 |
# Protokollierung und Überwachung in Amazon API Gateway
Die Überwachung ist ein wichtiger Teil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung von API Gateway und Ihren AWS-Lösungen. Sie sollten Überwachungsdaten von allen Teilen Ihrer AWS-Lösung sammeln, damit Sie einen Multi-Point-Fehler leichter debuggen können, falls ein solcher auftritt. AWS bietet verschiedene Tools zur Überwachung von API Gateway und anderer Ressourcen und zur Reaktion auf potenzielle Vorfälle.
**Amazon CloudWatch Logs**
Um bei der Behebung von Problemen im Zusammenhang mit der Ausführung von Anfragen oder dem Clientzugriff auf Ihre API zu helfen, können Sie CloudWatch Logs aktivieren, um API-Aufrufe zu protokollieren. Weitere Informationen finden Sie unter [Richten Sie die CloudWatch Protokollierung für REST APIs in API Gateway ein](set-up-logging.md).
**Amazon CloudWatch-Alarme**
Mit CloudWatch-Alarmen überwachen Sie eine einzelne Metrik über einen von Ihnen angegebenen Zeitraum. Wenn die Metrik einen bestimmten Schwellenwert überschreitet, wird eine Benachrichtigung an ein Thema von Amazon Simple Notification Service oder eine AWS Auto Scaling-Richtlinie gesendet. CloudWatch-Alarme lösen keine Aktionen aus, wenn sich eine Metrik in einem bestimmten Zustand befindet. Der Status muss sich stattdessen geändert haben und für eine festgelegte Anzahl an Zeiträumen aufrechterhalten worden sein. Weitere Informationen finden Sie unter [Überwachen Sie die REST-API-Ausführung mit CloudWatch Amazon-Metriken](monitoring-cloudwatch.md).
**Protokollierung von Zugriffen auf Firehose**
Um Probleme im Zusammenhang mit Client-Zugriffen auf Ihre API zu beheben, können Sie Firehose aktivieren, um API-Aufrufe zu protokollieren. Weitere Informationen finden Sie unter [Protokollierung von REST-API-Aufrufen unter Amazon Data Firehose im API Gateway](apigateway-logging-to-kinesis.md).
**AWS CloudTrail**
CloudTrail bietet eine Aufzeichnung von Aktionen, die von einem Benutzer, einer Rolle oder einem AWS-Service in API Gateway durchgeführt wurden. Mit den von CloudTrail gesammelten Informationen können Sie die an Amazon S3 gestellte Anfrage, die IP-Adresse, von der die Anfrage gestellt wurde, den Initiator der Anfrage, den Zeitpunkt der Anfrage und zusätzliche Angaben bestimmen. Weitere Informationen finden Sie unter [Protokollieren Amazon API Gateway Gateway-API-Aufrufen mit AWS CloudTrail](cloudtrail.md).
**AWS X-Ray**
X-Ray ist ein AWS-Service, der Daten über die Anforderungen erfasst, die Ihre Anwendung verwendet, um eine Servicezuordnung zu erstellen, die Sie verwenden können, um Probleme mit Ihrer Anwendung und Möglichkeiten zur Optimierung zu identifizieren. Weitere Informationen finden Sie unter [AWS X-Ray Mit API Gateway REST einrichten APIs](apigateway-enabling-xray.md).
**AWS Config**
AWS Config bietet eine detaillierte Ansicht der Konfiguration der AWS-Ressourcen in Ihrem Konto. Sie können Ressourcenbeziehungen betrachten, einen Verlauf der Konfigurationsänderungen anzeigen und feststellen, wie sich Beziehungen und Konfigurationen im Lauf der Zeit ändern. Sie können AWS Config verwenden, um Regeln zu definieren, die Ressourcenkonfigurationen im Hinblick auf Daten-Compliance auswerten. AWS Config-Regeln stellen die idealen Konfigurationseinstellungen für Ihre API-Gateway-Ressourcen dar. Wenn eine Ressource gegen eine Regel verstößt und als nicht konform gekennzeichnet ist, kann AWS Config Sie mit einem Amazon Simple Notification Service (Amazon SNS)-Thema benachrichtigen. Details hierzu finden Sie unter [Überwachung der API-Gateway-API-Konfiguration mit AWS Config](apigateway-config.md).
# Protokollieren Amazon API Gateway Gateway-API-Aufrufen mit AWS CloudTrail
Amazon API Gateway ist in einen Service integriert [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html), der eine Aufzeichnung der von einem Benutzer, einer Rolle oder einem ausgeführten Aktionen bereitstellt AWS-Service. CloudTrail erfasst alle REST-API-Aufrufe für den API Gateway Gateway-Dienst als Ereignisse. Zu den erfassten Aufrufen gehören Aufrufe von der API Gateway Gateway-Konsole und Codeaufrufen an den API Gateway Gateway-Dienst APIs. Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an API Gateway gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wann sie gestellt wurde, und weitere Details ermitteln.
**Anmerkung**
[TestInvokeAuthorizer](https://docs.aws.amazon.com/cli/latest/reference/apigateway/test-invoke-authorizer.html)und [TestInvokeMethod](https://docs.aws.amazon.com/cli/latest/reference/apigateway/test-invoke-method.html)sind nicht angemeldet CloudTrail.
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
+ Ob die Anforderung mit Anmeldeinformationen des Root-Benutzers oder des Benutzers gestellt wurde.
+ Die Anforderung wurde im Namen eines IAM-Identity-Center-Benutzers erstellt.
+ Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
+ Ob die Anforderung aus einem anderen AWS-Service gesendet wurde.
CloudTrail ist in deinem aktiv AWS-Konto , wenn du das Konto erstellst und du hast automatisch Zugriff auf den CloudTrail **Eventverlauf**. Der CloudTrail **Ereignisverlauf** bietet eine einsehbare, durchsuchbare, herunterladbare und unveränderliche Aufzeichnung der aufgezeichneten Verwaltungsereignisse der letzten 90 Tage in einem. AWS-Region Weitere Informationen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Arbeiten mit dem CloudTrail Ereignisverlauf](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html). Für die Anzeige des **Eventverlaufs CloudTrail** fallen keine Gebühren an.
Für eine fortlaufende Aufzeichnung der Ereignisse in AWS-Konto den letzten 90 Tagen erstellen Sie einen Trail- oder [CloudTrailLake-Event-Datenspeicher](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html).
**CloudTrail Pfade**
Ein *Trail* ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Alle mit dem erstellten Pfade AWS-Managementkonsole sind regionsübergreifend. Sie können mithilfe von AWS CLI einen Einzel-Region- oder einen Multi-Region-Trail erstellen. Es wird empfohlen, einen Trail mit mehreren Regionen zu erstellen, da Sie alle Aktivitäten AWS-Regionen in Ihrem Konto erfassen. Wenn Sie einen Einzel-Region-Trail erstellen, können Sie nur die Ereignisse anzeigen, die im AWS-Region des Trails protokolliert wurden. Weitere Informationen zu Trails finden Sie unter [Erstellen eines Trails für Ihr AWS-Konto](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) und [Erstellen eines Trails für eine Organisation](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) im *AWS CloudTrail -Benutzerhandbuch*.
Sie können eine Kopie Ihrer laufenden Verwaltungsereignisse kostenlos an Ihren Amazon S3 S3-Bucket senden, CloudTrail indem Sie einen Trail erstellen. Es fallen jedoch Amazon S3 S3-Speichergebühren an. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter [AWS CloudTrail Preise](https://aws.amazon.com/cloudtrail/pricing/). Informationen zu Amazon-S3-Preisen finden Sie unter [Amazon S3 – Preise](https://aws.amazon.com/s3/pricing/).
**CloudTrail Datenspeicher für Ereignisse in Lake**
CloudTrail Mit *Lake* können Sie SQL-basierte Abfragen für Ihre Ereignisse ausführen. CloudTrail [Lake konvertiert bestehende Ereignisse im zeilenbasierten JSON-Format in das Apache ORC-Format.](https://orc.apache.org/) ORC ist ein spaltenförmiges Speicherformat, das für den schnellen Abruf von Daten optimiert ist. Die Ereignisse werden in *Ereignisdatenspeichern* zusammengefasst, bei denen es sich um unveränderliche Sammlungen von Ereignissen handelt, die auf Kriterien basieren, die Sie mit Hilfe von [erweiterten Ereignisselektoren](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors) auswählen. Die Selektoren, die Sie auf einen Ereignisdatenspeicher anwenden, steuern, welche Ereignisse bestehen bleiben und für Sie zur Abfrage verfügbar sind. *Weitere Informationen zu CloudTrail Lake finden Sie unter [Arbeiten mit AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) im AWS CloudTrail Benutzerhandbuch.*
CloudTrail Für das Speichern und Abfragen von Ereignisdaten in Lake fallen Kosten an. Beim Erstellen eines Ereignisdatenspeichers wählen Sie die [Preisoption](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option) aus, die für den Ereignisdatenspeicher genutzt werden soll. Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter [AWS CloudTrail Preise](https://aws.amazon.com/cloudtrail/pricing/).
## API Gateway Gateway-Verwaltungsereignisse in CloudTrail
[Verwaltungsereignisse](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events) bieten Informationen zu Verwaltungsvorgängen, die an Ressourcen in Ihrem ausgeführt werden AWS-Konto. Sie werden auch als Vorgänge auf Steuerebene bezeichnet. In der Standardeinstellung werden Verwaltungsereignisse CloudTrail protokolliert.
Amazon API Gateway protokolliert alle API Gateway Gateway-Aktionen als Verwaltungsereignisse, mit Ausnahme von [TestInvokeAuthorizer](https://docs.aws.amazon.com/cli/latest/reference/apigateway/test-invoke-authorizer.html)und [TestInvokeMethod](https://docs.aws.amazon.com/cli/latest/reference/apigateway/test-invoke-method.html). Eine Liste der Amazon API Gateway-Aktionen, bei denen sich API Gateway anmeldet CloudTrail, finden Sie in der [Amazon API Gateway API-Referenz](https://docs.aws.amazon.com/apigateway/latest/api/API_Operations.html).
## Beispiel eines API-Gateway-Ereignisses
Ein Ereignis stellt eine einzelne Anfrage aus einer beliebigen Quelle dar und enthält Informationen über den angeforderten API-Vorgang, Datum und Uhrzeit des Vorgangs, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass Ereignisse nicht in einer bestimmten Reihenfolge angezeigt werden.
Das folgende Beispiel zeigt ein CloudTrail Ereignis, das die `GetResource` API-Gateway-Aktion demonstriert:
```
{
Records: [
{
eventVersion: "1.03",
userIdentity: {
type: "Root",
principalId: "AKIAI44QH8DHBEXAMPLE",
arn: "arn:aws:iam::123456789012:root",
accountId: "123456789012",
accessKeyId: "AKIAIOSFODNN7EXAMPLE",
sessionContext: {
attributes: {
mfaAuthenticated: "false",
creationDate: "2015-06-16T23:37:58Z"
}
}
},
eventTime: "2015-06-17T00:47:28Z",
eventSource: "apigateway.amazonaws.com",
eventName: "GetResource",
awsRegion: "us-east-1",
sourceIPAddress: "203.0.113.11",
userAgent: "example-user-agent-string",
requestParameters: {
restApiId: "3rbEXAMPLE",
resourceId: "5tfEXAMPLE",
template: false
},
responseElements: null,
requestID: "6d9c4bfc-148a-11e5-81b6-7577cEXAMPLE",
eventID: "4d293154-a15b-4c33-9e0a-ff5eeEXAMPLE",
readOnly: true,
eventType: "AwsApiCall",
recipientAccountId: "123456789012"
},
... additional entries ...
]
}
```
Informationen zu CloudTrail Datensatzinhalten finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [CloudTrailDatensatzinhalte](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
# Überwachung der API-Gateway-API-Konfiguration mit AWS Config
Sie können mit [AWS Config](https://aws.amazon.com/config/) Konfigurationsänderungen an Ihren API-Gateway-API-Ressourcen aufzeichnen und Benachrichtigungen auf der Grundlage von Ressourcenänderungen senden. Die Pflege eines Konfigurations-Änderungsverlaufs für API Gateway-Ressourcen ist nützlich bei Fehlerbehebung im Betrieb sowie Anwendungsfällen wie Audit und Compliance.
AWS Config kann Änderungen verfolgen an:
+ **API-Stufenkonfiguration**, wie z. B.:
+ Cache-Cluster-Einstellungen
+ Drosselungseinstellungen
+ Zugriffsprotokolleinstellungen
+ aktive Bereitstellung, die für die Stufe festgelegt wurde
+ **API-Konfiguration**, wie z. B.:
+ Endpunktkonfiguration
+ Version
+ Protokoll
+ Tags
Darüber hinaus können Sie AWS-Config-Regeln mit dieser Funktion Konfigurationsregeln definieren und Verstöße gegen diese Regeln automatisch erkennen, verfolgen und melden. Indem Sie Änderungen an diesen Eigenschaften der Ressourcenkonfiguration verfolgen, können Sie auch durch Änderungen ausgelöste AWS Config Regeln für Ihre API-Gateway-Ressourcen erstellen und Ihre Ressourcenkonfigurationen anhand von Best Practices testen.
Sie können die Aktivierung AWS Config in Ihrem Konto vornehmen, indem Sie die AWS Config Konsole oder die verwenden. AWS CLI Wählen Sie die Ressourcentypen aus, für die Sie Änderungen nachverfolgen möchten. Wenn Sie zuvor so konfiguriert AWS Config haben, dass alle Ressourcentypen aufgezeichnet werden, werden diese API-Gateway-Ressourcen automatisch in Ihrem Konto aufgezeichnet. Support für Amazon API Gateway in AWS Config ist in allen AWS öffentlichen Regionen und verfügbar AWS GovCloud (US). Die vollständige Liste der unterstützten Regionen finden Sie unter [Amazon-API-Gateway-Endpunkte und -Kontingente](https://docs.aws.amazon.com/general/latest/gr/apigateway.html) in der Allgemeine AWS-Referenz.
**Topics**
+ [Unterstützte Ressourcentypen](#apigateway-config-resources-rules)
+ [Einrichten AWS Config](#apigateway-config-setup)
+ [Konfiguration AWS Config zum Aufzeichnen von API-Gateway-Ressourcen](#apigateway-config-configuring)
+ [API-Gateway-Konfigurationsdetails in der AWS Config Konsole anzeigen](#apigateway-config-console)
+ [Evaluieren von API-Gateway-Ressourcen mithilfe von AWS Config Regeln](#apigateway-config-rules)
## Unterstützte Ressourcentypen
Die folgenden API-Gateway-Ressourcentypen sind in [AWS Config Unterstützte AWS Ressourcentypen und Ressourcenbeziehungen integriert und](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html) dort dokumentiert: AWS Config
+ `AWS::ApiGatewayV2::Api`(WebSocket und HTTP-API)
+ `AWS::ApiGateway::RestApi` (REST-API)
+ `AWS::ApiGatewayV2::Stage`(WebSocket und HTTP-API-Phase)
+ `AWS::ApiGateway::Stage` (REST-API-Stufe)
Weitere Informationen zu AWS Config finden Sie im [AWS Config Entwicklerhandbuch](https://docs.aws.amazon.com/config/latest/developerguide/). Preise finden Sie auf der Seite mit [Preisinformationen zu AWS Config](https://aws.amazon.com/config/pricing/).
**Wichtig**
Wenn Sie eine der folgenden API-Eigenschaften nach Bereitstellung der API ändern, *müssen* Sie die API [erneut bereitstellen](how-to-deploy-api.md), um die Änderungen zu übernehmen. Andernfalls werden die Attributänderungen in der AWS Config Konsole angezeigt, aber die vorherigen Eigenschaftseinstellungen sind weiterhin gültig. Das Laufzeitverhalten der API bleibt unverändert.
**`AWS::ApiGateway::RestApi`** – `binaryMediaTypes`, `minimumCompressionSize`, `apiKeySource`
**`AWS::ApiGatewayV2::Api`** – `apiKeySelectionExpression`
## Einrichten AWS Config
Informationen zur ersten Einrichtung AWS Config finden Sie in den folgenden Themen im [AWS Config Entwicklerhandbuch](https://docs.aws.amazon.com/config/latest/developerguide/).
+ [Einrichtung AWS Config mit der Konsole](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html)
+ [Einrichtung AWS Config mit dem AWS CLI](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli.html)
## Konfiguration AWS Config zum Aufzeichnen von API-Gateway-Ressourcen
AWS Config Zeichnet standardmäßig Konfigurationsänderungen für alle unterstützten Typen von regionalen Ressourcen auf, die in der Region erkannt werden, in der Ihre Umgebung ausgeführt wird. Sie können es so AWS Config anpassen, dass Änderungen nur für bestimmte Ressourcentypen oder Änderungen an globalen Ressourcen aufgezeichnet werden.
Informationen zu regionalen und globalen Ressourcen und dazu, wie Sie Ihre AWS Config Konfiguration anpassen können, finden Sie unter [Auswahl der AWS Config Ressourceneinträge](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html).
## API-Gateway-Konfigurationsdetails in der AWS Config Konsole anzeigen
Sie können die AWS Config Konsole verwenden, um nach API-Gateway-Ressourcen zu suchen und aktuelle und historische Details zu deren Konfigurationen abzurufen. Die folgende Prozedur zeigt, wie Sie Informationen über eine API Gateway-API finden.
**So finden Sie eine API-Gateway-Ressource in der AWS Konfigurationskonsole**
1. Öffnen Sie die [AWS Config -Konsole](https://console.aws.amazon.com/config).
1. Wählen Sie **Resources** aus.
1. Wählen Sie auf der Seite **Resource inventory (Ressourcenbestand)** die Option **Resources (Ressourcen)** aus.
1. Öffnen Sie das Menü **Ressourcentyp**, scrollen Sie zu APIGateway oder APIGateway V2 und wählen Sie dann einen oder mehrere der API-Gateway-Ressourcentypen aus.
1. Wählen Sie **Look up**.
1. Wählen Sie in der angezeigten Ressourcenliste eine Ressourcen-ID aus. AWS Config AWS Config zeigt Konfigurationsdetails und andere Informationen zu der ausgewählten Ressource an.
1. Die vollständigen Details der aufgezeichneten Konfiguration können Sie mit **View Details (Details anzeigen)** anzeigen.
Weitere Möglichkeiten zum Auffinden einer Ressource und zum Anzeigen von Informationen auf dieser Seite finden Sie unter [AWS Ressourcenkonfigurationen und Verlauf anzeigen](https://docs.aws.amazon.com/config/latest/developerguide/view-manage-resource.html) im AWS Config Entwicklerhandbuch.
## Evaluieren von API-Gateway-Ressourcen mithilfe von AWS Config Regeln
Sie können AWS Config Regeln erstellen, die die idealen Konfigurationseinstellungen für Ihre API-Gateway-Ressourcen darstellen. Sie können vordefinierte [AWS Config verwaltete Regeln](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) verwenden oder benutzerdefinierte Regeln definieren. AWS Config verfolgt kontinuierlich Änderungen an der Konfiguration Ihrer Ressourcen, um festzustellen, ob diese Änderungen gegen eine der Bedingungen in Ihren Regeln verstoßen. Die AWS Config Konsole zeigt den Konformitätsstatus Ihrer Regeln und Ressourcen an.
Wenn eine Ressource gegen eine Regel verstößt und als nicht konform gekennzeichnet wird, AWS Config kann ich Sie mithilfe eines Themas im [Amazon Simple Notification Service Developer Guide](https://docs.aws.amazon.com/sns/latest/dg/) (Amazon SNS) benachrichtigen. Um die Daten in diesen AWS Config Warnungen programmgesteuert zu nutzen, verwenden Sie eine Amazon-SQS-Warteschlange (Amazon Simple Queue Service) als Benachrichtigungsendpunkt für das Amazon-SNS-Thema.
Weitere Informationen zum Einrichten und Verwenden von Regeln finden Sie unter [Ressourcen mit Regeln auswerten](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) im [AWS Config -Entwicklerhandbuch](https://docs.aws.amazon.com/config/latest/developerguide/).
# Compliance-Validierung für Amazon API Gateway
Informationen darüber, ob AWS-Service ein [AWS-Services in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Zuverlässigkeit in Amazon API Gateway
Im Zentrum der globalen AWS-Infrastruktur stehen die AWS-Regionen und Availability Zones (Verfügbarkeitszonen, AZs). AWS -Regionen stellen mehrere physisch getrennte und isolierte Availability Zones bereit, die über hoch redundante Netzwerke mit niedriger Latenz und hohen Durchsätzen verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Als vollständig verwalteter regionaler Dienst arbeitet API Gateway in mehreren Verfügbarkeitszonen der einzelnen Regionen, wobei die Redundanz der Verfügbarkeitszonen zur Minimierung von Infrastrukturfehlern als Kategorie des Verfügbarkeitsrisikos verwendet wird. API Gateway ist so konzipiert, dass es nach dem Ausfall einer Verfügbarkeitszone automatisch wiederhergestellt wird.
Weitere Informationen über AWS-Regionen und Availability Zones finden Sie unter [AWS Globale Infrastruktur](https://aws.amazon.com/about-aws/global-infrastructure/).
Um zu verhindern, dass Ihre APIs von zu vielen Anfragen überlastet werden, drosselt API Gateway Anfragen an Ihre APIs. Insbesondere setzt API Gateway ein Limit für eine Steady-State-Rate und einen Burst von Anfragen an alle APIs in Ihrem Konto. Sie können die benutzerdefinierte Drosselung für Ihre APIs konfigurieren. Weitere Informationen hierzu finden Sie unter [Drosseln Sie Anfragen an Ihren REST APIs für einen besseren Durchsatz in API Gateway](api-gateway-request-throttling.md).
Sie können Route-53-Zustandsprüfungen verwenden, um das DNS-Failover von einer API-Gateway-API in einer primären Region zu einer API-Gateway-API in einer sekundären Region zu kontrollieren. Ein Beispiel finden Sie unter [Konfigurieren benutzerdefinierter Zustandsprüfungen für das DNS-Failover einer API-Gateway-API](dns-failover.md).
# Infrastruktursicherheit in Amazon API Gateway
Als verwalteter Service ist Amazon API Gateway durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf API Gateway zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
Diese API-Operationen lassen sich von einem beliebigen Netzwerkstandort aus aufrufen. Da API Gateway jedoch ressourcenbasierte Zugriffsrichtlinien unterstützt, kann es zu Einschränkungen bezüglich der Quell-IP-Adresse kommen. Sie können auch ressourcenbasierte Richtlinien verwenden, um den Zugriff von bestimmten Amazon Virtual Private Cloud (Amazon VPC) -Endpunkten oder bestimmten zu kontrollieren. VPCs Dadurch wird der Netzwerkzugriff auf eine bestimmte API-Gateway-Ressource effektiv nur von der spezifischen VPC innerhalb des AWS Netzwerks isoliert.
# Schwachstellenanalyse in Amazon API Gateway
Konfiguration und IT-Steuerelemente unterliegen der übergreifenden Verantwortlichkeit von AWS und Ihnen, unserem Kunden. Weitere Informationen finden Sie unter AWS[Modell der übergreifenden Verantwortlichkeit](https://aws.amazon.com/compliance/shared-responsibility-model/).
# Bewährte Methoden in Amazon API Gateway
API Gateway bietet eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.
**Implementieren des Zugriffs mit geringsten Berechtigungen**
Verwenden Sie IAM-Richtlinien, um den Zugriff mit den geringsten Rechten für das Erstellen, Lesen, Aktualisieren oder Löschen von API Gateway APIs zu implementieren. Weitere Informationen hierzu finden Sie unter [Identitäts- und Zugriffsverwaltung für Amazon API Gateway](security-iam.md). API Gateway bietet mehrere Optionen zur Steuerung des Zugriffs auf APIs die von Ihnen erstellten Daten. Weitere Informationen hierzu finden Sie unter [Steuern und verwalten Sie den Zugriff auf REST APIs in API Gateway](apigateway-control-access-to-api.md), [Steuern und verwalten Sie den Zugriff WebSocket APIs auf das API Gateway](apigateway-websocket-api-control-access.md) und [Steuern Sie den Zugriff auf HTTP APIs mit JWT-Autorisierern in API Gateway](http-api-jwt-authorizer.md).
**Implementieren der Protokollierung**
Verwenden Sie CloudWatch Logs oder Amazon Data Firehose, um Anfragen an Ihre APIs zu protokollieren. Weitere Informationen hierzu finden Sie unter [REST APIs in API Gateway überwachen](rest-api-monitor.md), [Konfigurieren Sie die Protokollierung für WebSocket APIs im API Gateway](websocket-api-logging.md) und [Konfigurieren Sie die Protokollierung für HTTP APIs in API Gateway](http-api-logging.md).
**Implementieren Sie CloudWatch Amazon-Alarme**
Mithilfe von CloudWatch Alarmen beobachten Sie eine einzelne Metrik über einen von Ihnen festgelegten Zeitraum. Wenn die Metrik einen bestimmten Schwellenwert überschreitet, wird eine Benachrichtigung an ein Thema oder eine AWS Auto Scaling Richtlinie von Amazon Simple Notification Service gesendet. CloudWatch Alarme lösen keine Aktionen aus, wenn sich eine Metrik in einem bestimmten Status befindet. Der Status muss sich stattdessen geändert haben und für eine festgelegte Anzahl an Zeiträumen aufrechterhalten worden sein. Weitere Informationen finden Sie unter [Überwachen Sie die REST-API-Ausführung mit CloudWatch Amazon-Metriken](monitoring-cloudwatch.md).
**Aktivieren AWS CloudTrail**
CloudTrail bietet eine Aufzeichnung der Aktionen, die von einem Benutzer, einer Rolle oder einem AWS Dienst in API Gateway ausgeführt wurden. Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an API Gateway gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln. Weitere Informationen finden Sie unter [Protokollieren Amazon API Gateway Gateway-API-Aufrufen mit AWS CloudTrail](cloudtrail.md).
**Aktivieren AWS Config**
AWS Config bietet eine detaillierte Ansicht der Konfiguration der AWS Ressourcen in Ihrem Konto. Sie können Ressourcenbeziehungen betrachten, einen Verlauf der Konfigurationsänderungen anzeigen und feststellen, wie sich Beziehungen und Konfigurationen im Lauf der Zeit ändern. Sie können AWS Config damit Regeln definieren, mit denen Ressourcenkonfigurationen im Hinblick auf Datenkonformität bewertet werden. AWS Config Regeln stellen die idealen Konfigurationseinstellungen für Ihre API-Gateway-Ressourcen dar. Wenn eine Ressource gegen eine Regel verstößt und als nicht konform gekennzeichnet wird, AWS Config kann ich Sie mithilfe eines Amazon Simple Notification Service (Amazon SNS) -Themas benachrichtigen. Details hierzu finden Sie unter [Überwachung der API-Gateway-API-Konfiguration mit AWS Config](apigateway-config.md).
**Verwenden AWS Security Hub CSPM**
Überwachen Sie Ihre API-Gateway-Nutzung in Bezug auf bewährte Sicherheitsmethoden, indem Sie [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) verwenden. Security Hub CSPM verwendet *Sicherheitskontrollen*, um Ressourcenkonfigurationen und *Sicherheitsstandards* zu bewerten und Sie bei der Einhaltung verschiedener Compliance-Frameworks zu unterstützen. Weitere Informationen zur Verwendung von Security Hub CSPM zur Evaluierung von API Gateway Gateway-Ressourcen finden Sie unter [Amazon API Gateway Gateway-Kontrollen](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html) im *AWS Security Hub Benutzerhandbuch*.