Cómo cambiar una política de seguridad

Puede cambiar la política de seguridad para la API. Si envía tráfico a las API a través del nombre de dominio personalizado, no es necesario que la API y el nombre de dominio personalizado tengan la misma política de seguridad. Al invocar ese nombre de dominio personalizado, API Gateway utiliza la política de seguridad de la API para negociar el establecimiento de comunicación TLS. Sin embargo, para mantener la coherencia, le recomendamos que utilice la misma política de seguridad para el nombre de dominio y la API personalizados.

Si cambia la política de seguridad, esta tardará unos 15 minutos en completarse. Puede supervisar el apiStatus de la API. A medida que la API se actualice, el apiStatus será UPDATING y cuando se complete será AVAILABLE. Cuando se actualice la API, puede seguir invocándola.

Consola de administración de AWS

Cambio de la política de seguridad de una API

Inicie sesión en la consola de API Gateway en https://console.aws.amazon.com/apigateway.
Elija una API de REST.
Elija Configuración de la API y, a continuación, elija Editar.
Para Política de seguridad, seleccione una nueva política que comience con SecurityPolicy_.
Para Modo de acceso de punto de conexión, elija Estricto.
Seleccione Save changes (Guardar cambios).

Vuelva a implementar la API para que los cambios se apliquen. Como ha cambiado el modo de acceso del punto de conexión a estricto, los cambios tardarán unos 15 minutos en propagarse por completo.

AWS CLI

El comando update-rest-api siguiente permite actualizar una API para utilizar la política de seguridad SecurityPolicy_TLS13_1_3_2025_09:


aws apigateway update-rest-api \
    --rest-api-id abcd1234 \
    --patch-operations '[
        {
            "op": "replace",
            "path": "/securityPolicy",
            "value": "SecurityPolicy_TLS13_1_3_2025_09"
        }, 
        {
            "op": "replace",
            "path": "/endpointAccessMode",
            "value": "STRICT"
        }
    ]'

El resultado será similar al siguiente:


{
    "id": "abcd1234",
    "name": "MyAPI",
    "description": "My API with a new security policy",
    "createdDate": "2025-02-04T11:47:06-08:00",
    "apiKeySource": "HEADER",
    "endpointConfiguration": {
        "types": [
            "REGIONAL"
        ],
        "ipAddressType": "dualstack"
    },
    "tags": {},
    "disableExecuteApiEndpoint": false,
    "securityPolicy": "SecurityPolicy_TLS13_1_3_2025_09",
    "endpointAccessMode": "STRICT"
    "rootResourceId": "efg456"
}

El comando update-rest-api siguiente actualiza una API que usaba una política de seguridad mejorada para utilizar la política de seguridad de TLS_1_0.


aws apigateway update-rest-api \
    --rest-api-id abcd1234 \
    --patch-operations '[
        {
            "op": "replace",
            "path": "/securityPolicy",
            "value": "TLS_1_0"
        }, 
        {
            "op": "replace",
            "path": "/endpointAccessMode",
            "value": ""
        }
    ]'

El resultado será similar al siguiente:


{
    "id": "abcd1234",
    "name": "MyAPI",
    "description": "My API with a new security policy",
    "createdDate": "2025-02-04T11:47:06-08:00",
    "apiKeySource": "HEADER",
    "endpointConfiguration": {
        "types": [
            "REGIONAL"
        ],
        "ipAddressType": "dualstack"
    },
    "tags": {},
    "disableExecuteApiEndpoint": false,
    "securityPolicy": "TLS_1_0",
    "rootResourceId": "efg456"
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Políticas de seguridad admitidas

Tipos de direcciones IP para API de REST en API Gateway