Références d’API - Amazon API Gateway
Points de terminaison de service API GatewayUtilisation d’adresses IPv6 dans les politiques IAM

Références d’API

Amazon API Gateway fournit des API pour créer et déployer vos propres API HTTP et WebSocket. En outre, les API d'API Gateway sont disponibles dans les kits SDK AWS standards.

Si vous utilisez un langage pour lequel il existe un kit SDK AWS, vous pouvez choisir d'utiliser le kit SDK plutôt que les API REST d'API Gateway directement. Les kits SDK simplifient l'authentification, s'intègrent facilement à votre environnement de développement et permettent d'accéder facilement aux commandes API Gateway.

Voici où trouver la documentation de référence des kits SDK AWS et des API REST d'API Gateway :

Points de terminaison de service API Gateway

Un point de terminaison est une URL qui sert de point d’entrée à un service web AWS. API Gateway prend en charge les types de point de terminaison suivants :

Lorsque vous soumettez une demande, vous pouvez spécifier le point de terminaison et la région à utiliser. Si vous ne spécifiez pas de point de terminaison, le point de terminaison IPv4 est utilisé par défaut. Pour utiliser un autre type de point de terminaison, vous devez le spécifier dans votre demande. Pour obtenir un exemple de la façon de procéder, consultez Spécification des points de terminaison. Pour obtenir un tableau des points de terminaison disponibles, consultez Points de terminaison Amazon API Gateway.

Points de terminaison IPv4

Les points de terminaison IPv4 prennent en charge le trafic IPv4 uniquement. Les points de terminaison IPv4 sont disponibles pour toutes les régions.

Si vous spécifiez le point de terminaison général, apigateway.amazonaws.com, nous utilisons le point de terminaison pour us-east-1. Pour utiliser une autre région, spécifiez son point de terminaison associé. Par exemple, si vous le spécifiez apigateway.us-east-2.amazonaws.com comme point de terminaison, nous dirigeons votre demande vers le point de terminaison us-east-2.

Les noms des points de terminaison IPv4 utilisent la convention d’affectation de noms suivante :

  • apigateway.region.amazonaws.com

Par exemple, le nom du point de terminaison IPv4 de la région eu-west-1 est apigateway.eu-west-1.amazonaws.com.

Points de terminaison à double pile (IPv4 et IPv6)

Les points de terminaison à double pile prennent en charge le trafic IPv4 et IPv6. Lorsque vous adressez une requête à un point de terminaison à double pile, l’URL du point de terminaison est résolue en une adresse IPv6 ou IPv4, selon le protocole utilisé par votre réseau et votre client.

Les noms des points de terminaison à double pile utilisent la convention d’affectation de noms suivante :

  • apigateway.region.api.aws

Par exemple, le nom du point de terminaison à double pile de la région eu-west-1 est apigateway.eu-west-1.api.aws.

Spécification des points de terminaison

Les exemples suivants montrent comment spécifier un point de terminaison pour la région us-east-2 à l’aide de l’AWS CLI pour apigateway.

  • Double pile

    aws apigateway get-rest-apis --region us-east-2 --endpoint-url https://apigateway.us-east-2.api.aws

  • IPv4

    aws apigateway get-rest-apis --region us-east-2 --endpoint-url https://apigateway.us-east-2.amazonaws.com

Les exemples suivants montrent comment spécifier un point de terminaison pour la région us-east-2 à l’aide de l’AWS CLI pour apigatewayv2.

  • Double pile

    aws apigatewayv2 get-apis --region us-east-2 --endpoint-url https://apigateway.us-east-2.api.aws

  • IPv4

    aws apigatewayv2 get-apis --region us-east-2 --endpoint-url https://apigateway.us-east-2.amazonaws.com

Utilisation d’adresses IPv6 dans les politiques IAM

Si vous utilisez des stratégies d’utilisateur IAM ou des stratégies de ressources API Gateway pour contrôler l’accès à API Gateway ou à toute API API Gateway, vérifiez que vos politiques sont à jour et incluent les plages d’adresses IPv6. Les stratégies qui ne sont pas mises à jour pour gérer les adresses IPv6 peuvent avoir un impact sur l’accès du client à API Gateway lorsqu’il commence à utiliser le point de terminaison à double pile. Pour plus d’informations sur la gestion des autorisations d’accès avec IAM, consultez Identity and Access Management pour Amazon API Gateway.

Les stratégies IAM qui permettent de filtrer les adresses IP utilisent des opérateurs de condition d'adresse IP. La stratégie d’identité suivante autorise les adresses IP de la plage 54.240.143.* à obtenir des informations sur toutes les ressources d’une API HTTP ou WebSocket avec l’identifiant a123456789. Toute adresse IP située en dehors de cette plage se verra refuser l’accès aux informations sur toutes les ressources de l’API. Toutes les adresses IPv6 se trouvent en dehors de la plage autorisée, cette stratégie les empêche d’accéder aux informations sur l’API.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "apigateway:GET",
      "Resource": "arn:aws:apigateway:us-east-1::/apis/a123456789/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"}
      } 
    } 
  ]
}

Vous pouvez modifier l’élément Condition de la stratégie d’API afin d’autoriser les plages d’adresses IPv4 (54.240.143.0/24) et IPv6 (2001:DB8:1234:5678::/64), comme illustré dans l’exemple suivant. Vous pouvez utiliser le même type de bloc Condition que celui indiqué dans l’exemple pour mettre à jour vos stratégies d’utilisateur IAM et stratégies de ressources API Gateway.

       "Condition": {
         "IpAddress": {
            "aws:SourceIp": [
              "54.240.143.0/24",
               "2001:DB8:1234:5678::/64"
             ]
          }
        }