Elección de una política de seguridad para el dominio personalizado en API Gateway - Amazon API Gateway
ConsideracionesCómo aplica API Gateway las políticas de seguridadCambio de la política de seguridad del nombre de dominio personalizadoInformación acerca de las API de HTTP y las API de WebSocket

Elección de una política de seguridad para el dominio personalizado en API Gateway

Una política de seguridad es una combinación predefinida de versión mínima de TLS y conjuntos de cifrado que ofrece API Gateway. Cuando los clientes realizan un establecimiento de comunicación de TLS en la API o el nombre de dominio personalizado, la política de seguridad aplica la versión de TLS y el conjunto de cifrado aceptado por API Gateway. Las políticas de seguridad protegen las API y los nombres de dominio personalizados de los problemas de seguridad de red como, por ejemplo, la manipulación y el espionaje entre un cliente y el servidor.

API Gateway admite políticas de seguridad heredadas y políticas de seguridad mejoradas. TLS_1_0 y TLS_1_2 son políticas de seguridad heredadas. Utilice estas políticas de seguridad para cargas de trabajo generalizadas o para empezar a crear una API. Cualquier política que comience con SecurityPolicy_ es una política de seguridad mejorada. Utilice estas políticas para cargas de trabajo reguladas, una gobernanza avanzada o para utilizar la criptografía poscuántica. Al utilizar una política de seguridad mejorada, también debe configurar el modo de acceso de punto de conexión para una mayor gobernanza. Para obtener más información, consulte Modo de acceso de punto de conexión.

Consideraciones

A continuación, se muestran consideraciones sobre las políticas de seguridad de los nombres de dominio personalizados para las API de REST en API Gateway:

  • No puede habilitar el TLS mutuo en un nombre de dominio que utilice una política de seguridad mejorada.

  • No puede asignar una API HTTP a un nombre de dominio que utilice una política de seguridad mejorada.

  • Si habilita la asignación de rutas base de varios niveles a una API de REST que utilice una política de seguridad mejorada, no podrá crear una asignación de ruta base a una API HTTP para el mismo nombre de dominio.

  • La API se puede asignar a un nombre de dominio personalizado con una política de seguridad diferente a la de la API. Al invocar ese nombre de dominio personalizado, API Gateway utiliza la política de seguridad de la API para negociar el establecimiento de comunicación TLS. Si desactiva el punto de conexión de la API predeterminado, esto podría afectar a la forma en que los intermediarios pueden invocar a la API.

  • API Gateway admite políticas de seguridad en todas las API. Sin embargo, solo puede elegir una política de seguridad para las API de REST. API Gateway solo admite la política de seguridad TLS_1_2 para las API HTTP o de WebSocket.

  • API Gateway no admite la actualización de una política de seguridad para un nombre de dominio con varios tipos de punto de conexión. Si tiene varios tipos de punto de conexión para un nombre de dominio, elimine uno de ellos para actualizar la política de seguridad.

Cómo aplica API Gateway las políticas de seguridad

El siguiente ejemplo muestra cómo API Gateway aplica las políticas de seguridad mediante la política de seguridad SecurityPolicy_TLS13_1_3_2025_09 como ejemplo.

La política de seguridad SecurityPolicy_TLS13_1_3_2025_09 acepta el tráfico de TLS 1.3 y rechaza el tráfico de TLS 1.2 y TLS 1.0. Para el tráfico de TLS 1.3, la política de seguridad acepta los siguientes conjuntos de cifrado:

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

API Gateway no acepta ningún otro conjunto de sistemas de cifrado. Por ejemplo, la política de seguridad rechazaría cualquier tráfico de TLS 1.3 que utilice el conjunto de cifrado de AES128-SHA.

Para supervisar qué protocolo TLS y qué cifrado utilizan los clientes para acceder a la API Gateway, puede utilizar las variables de contexto $context.tlsVersion y $context.cipherSuite en los registros de acceso. Para obtener más información, consulte Supervisión de las API de REST en API Gateway.

Para ver las políticas de seguridad predeterminadas de todas las API de REST y los nombres de dominio personalizados, consulte Políticas de seguridad predeterminadas. Para ver las políticas de seguridad aceptadas de todas las API de REST y los nombres de dominio personalizados, consulte Políticas de seguridad admitidas.

Cambio de la política de seguridad del nombre de dominio personalizado

Si cambia la política de seguridad, esta tardará unos 15 minutos en completarse. Puede supervisar el lastUpdateStatus del nombre de dominio personalizado. A medida que el nombre de dominio personalizado se actualice, el lastUpdateStatus será PENDING y cuando se complete será AVAILABLE.

Cuando utilice una política de seguridad que comience por SecurityPolicy_, también debe activar el modo de acceso de punto de conexión. Para obtener más información, consulte Modo de acceso de punto de conexión.

Consola de administración de AWS
Cambio de la política de seguridad de un nombre de dominio personalizado

  1. Inicie sesión en la consola de API Gateway, en https://console.aws.amazon.com/apigateway.

  2. Elija un nombre de dominio personalizado que envíe el tráfico a las API de REST.

    Asegúrese de que solo haya un tipo de punto de conexión asociado al nombre de dominio personalizado.

  3. Elija Configuración de nombre de dominio personalizado y, a continuación, elija Editar.

  4. En Política de seguridad, seleccione una nueva política.

  5. Para Modo de acceso de punto de conexión, elija Estricto.

  6. Seleccione Save changes (Guardar cambios).

AWS CLI

El siguiente comando update-domain-name actualiza un nombre de dominio para utilizar la política de seguridad SecurityPolicy_TLS13_1_3_2025_09:

aws apigateway update-domain-name \
    --domain-name example.com \
    --patch-operations '[
        {
            "op": "replace",
            "path": "/securityPolicy",
            "value": "SecurityPolicy_TLS13_1_3_2025_09"
        }, 
        {
            "op": "replace",
            "path": "/endpointAccessMode",
            "value": "STRICT"
        }
    ]'

El resultado será similar al siguiente:

{
   "domainName": "example.com",
   "endpointConfiguration": { 
      "types": [ "REGIONAL" ], 
      "ipAddressType": "dualstack" 
   },
   "regionalCertificateArn": "arn:aws:acm:us-west-2:111122223333:certificate/a1b2c3d4-5678-90ab-cdef",
   "securityPolicy": "SecurityPolicy_TLS13_1_3_2025_09",
   "endpointAccessMode": "STRICT"
}

Información acerca de las API de HTTP y las API de WebSocket

Para obtener más información sobre las API de HTTP y las API de WebSocket, consulte Política de seguridad de las API de HTTP en API Gateway y Política de seguridad de las API de WebSocket en API Gateway.