Choisissez une politique de sécurité pour votre domaine personnalisé dans API Gateway - Amazon API Gateway
ConsidérationsComment API Gateway applique les politiques de sécuritéModifier la politique de sécurité de votre nom de domaine personnaliséInformations sur HTTP APIs et WebSocket APIs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Choisissez une politique de sécurité pour votre domaine personnalisé dans API Gateway

Une politique de sécurité est une combinaison prédéfinie d’une version minimale du protocole TLS et de suites de chiffrement offertes par API Gateway. Lorsque vos clients établissent une liaison TLS vers votre API ou nom de domaine personnalisé, la politique de sécurité applique la version TLS et la suite de chiffrement acceptées par API Gateway. Les politiques de sécurité protègent votre nom de domaine APIs et celui de vos noms de domaine personnalisés contre les problèmes de sécurité du réseau tels que la falsification et l'écoute entre un client et un serveur.

API Gateway prend en charge les politiques de sécurité existantes et les politiques de sécurité améliorées. TLS_1_0et TLS_1_2 sont des politiques de sécurité héritées. Utilisez ces politiques de sécurité pour les charges de travail généralisées ou pour commencer à créer une API. Toute politique qui commence par SecurityPolicy_ est une politique de sécurité renforcée. Utilisez-les pour les charges de travail régulées, la gouvernance avancée ou pour utiliser la cryptographie post-quantique. Lorsque vous utilisez une politique de sécurité améliorée, vous devez également définir le mode d’accès aux points de terminaison pour une meilleure gouvernance. Pour de plus amples informations, veuillez consulter Mode d'accès aux terminaux.

Considérations

Voici quelques considérations relatives aux politiques de sécurité relatives aux noms de domaine personnalisés pour REST APIs dans API Gateway :

  • Vous ne pouvez pas activer le protocole TLS mutuel sur un nom de domaine qui utilise une politique de sécurité renforcée.

  • Vous ne pouvez pas associer une API HTTP à un nom de domaine qui utilise une politique de sécurité renforcée.

  • Si vous activez le mappage de chemins de base à plusieurs niveaux vers une API REST qui utilise une politique de sécurité renforcée, vous ne pouvez pas créer de mappage de chemin de base vers une API HTTP pour le même nom de domaine.

  • Votre API peut être mappée à un nom de domaine personnalisé avec une politique de sécurité différente de celle de votre API. Lorsque vous invoquez ce nom de domaine personnalisé, API Gateway utilise la politique de sécurité de l'API pour négocier le handshake TLS. La désactivation du point de terminaison de votre API par défaut peut avoir une incidence sur la manière dont les appelants peuvent invoquer votre API.

  • API Gateway prend en charge les politiques de sécurité pour tous APIs. Toutefois, vous ne pouvez choisir qu'une politique de sécurité pour REST APIs. API Gateway prend uniquement en charge la politique de TLS_1_2 sécurité pour HTTP ou WebSocket APIs.

  • API Gateway ne prend pas en charge la mise à jour d'une politique de sécurité pour un nom de domaine comportant plusieurs types de points de terminaison. Si vous avez plusieurs types de point de terminaison pour un nom de domaine, supprimez l'un d'entre eux pour mettre à jour la politique de sécurité.

Comment API Gateway applique les politiques de sécurité

L'exemple suivant montre comment API Gateway applique les politiques de sécurité en utilisant la politique de SecurityPolicy_TLS13_1_3_2025_09 sécurité comme exemple.

La politique SecurityPolicy_TLS13_1_3_2025_09 de sécurité accepte le trafic TLS 1.3 et rejette le trafic TLS 1.2 et TLS 1.0. Pour le trafic TLS 1.3, la politique de sécurité accepte les suites de chiffrement suivantes :

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

API Gateway n'accepte aucune autre suite de chiffrement. Par exemple, la politique de sécurité rejetterait tout trafic TLS 1.3 utilisant la suite de AES128-SHA chiffrement.

Pour contrôler le protocole TLS et les chiffrements utilisés par les clients pour accéder à votre API Gateway, vous pouvez utiliser les variables de $context.cipherSuite contexte $context.tlsVersion et dans vos journaux d'accès. Pour de plus amples informations, veuillez consulter Surveillance des API REST dans API Gateway.

Pour connaître les politiques de sécurité par défaut pour tous les noms de domaine REST APIs et personnalisés, voirPolitiques de sécurité par défaut. Pour connaître les politiques de sécurité prises en charge pour tous les noms de domaine REST APIs et personnalisés, consultezPolitiques de sécurité prises en charge.

Modifier la politique de sécurité de votre nom de domaine personnalisé

Si vous modifiez votre politique de sécurité, la mise à jour prend environ 15 minutes. Vous pouvez surveiller votre nom lastUpdateStatus de domaine personnalisé. Au fur et à mesure que votre nom de domaine personnalisé lastUpdateStatus est mis à jour, il est PENDING et une fois terminé, il le seraAVAILABLE.

Lorsque vous utilisez une politique de sécurité commençant parSecurityPolicy_, vous devez également activer le mode d'accès aux terminaux. Pour de plus amples informations, veuillez consulter Mode d'accès aux terminaux.

AWS Management Console
Pour modifier la politique de sécurité d'un nom de domaine personnalisé

  1. Connectez-vous à la console API Gateway à l'adresse https://console.aws.amazon.com/apigateway.

  2. Choisissez un nom de domaine personnalisé qui envoie le trafic vers REST APIs.

    Assurez-vous qu'un seul type de point de terminaison est associé à votre nom de domaine personnalisé.

  3. Choisissez Paramètres de nom de domaine personnalisés, puis sélectionnez Modifier.

  4. Pour Politique de sécurité, sélectionnez une nouvelle stratégie.

  5. Pour le mode d'accès au point de terminaison, choisissez Strict.

  6. Sélectionnez Enregistrer les modifications.

AWS CLI

La update-domain-namecommande suivante met à jour un nom de domaine afin d'utiliser la politique SecurityPolicy_TLS13_1_3_2025_09 de sécurité :

aws apigateway update-domain-name \
    --domain-name example.com \
    --patch-operations '[
        {
            "op": "replace",
            "path": "/securityPolicy",
            "value": "SecurityPolicy_TLS13_1_3_2025_09"
        }, 
        {
            "op": "replace",
            "path": "/endpointAccessMode",
            "value": "STRICT"
        }
    ]'

Le résultat se présente comme suit :

{
   "domainName": "example.com",
   "endpointConfiguration": { 
      "types": [ "REGIONAL" ], 
      "ipAddressType": "dualstack" 
   },
   "regionalCertificateArn": "arn:aws:acm:us-west-2:111122223333:certificate/a1b2c3d4-5678-90ab-cdef",
   "securityPolicy": "SecurityPolicy_TLS13_1_3_2025_09",
   "endpointAccessMode": "STRICT"
}

Informations sur HTTP APIs et WebSocket APIs

Pour plus d'informations sur le protocole HTTP APIs et WebSocket APIs, consultez Politique de sécurité pour les API HTTP dans API Gateway etPolitique de sécurité pour les API WebSocket dans API Gateway.