Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Choisissez une politique de sécurité pour votre domaine personnalisé dans API Gateway
<a name="apigateway-custom-domain-tls-version"></a>

Une *politique de sécurité* est une combinaison prédéfinie d’une version minimale du protocole TLS et de suites de chiffrement offertes par API Gateway. Lorsque vos clients établissent une liaison TLS vers votre API ou nom de domaine personnalisé, la politique de sécurité applique la version TLS et la suite de chiffrement acceptées par API Gateway. Les politiques de sécurité protègent votre nom de domaine APIs et celui de vos noms de domaine personnalisés contre les problèmes de sécurité du réseau tels que la falsification et l'écoute entre un client et un serveur.

API Gateway prend en charge les politiques de sécurité existantes et les politiques de sécurité améliorées. `TLS_1_0`et `TLS_1_2` sont des politiques de sécurité héritées. Utilisez ces politiques de sécurité pour les charges de travail généralisées ou pour commencer à créer une API. Toute politique qui commence par `SecurityPolicy_` est une politique de sécurité renforcée. Utilisez-les pour les charges de travail régulées, la gouvernance avancée ou pour utiliser la cryptographie post-quantique. Lorsque vous utilisez une politique de sécurité améliorée, vous devez également définir le mode d’accès aux points de terminaison pour une meilleure gouvernance. Pour de plus amples informations, veuillez consulter [Mode d’accès au point de terminaison](apigateway-security-policies.md#apigateway-security-policies-endpoint-access-mode).

## Considérations
<a name="apigateway-custom-domain-tls-version-considerations"></a>

Voici quelques considérations relatives aux politiques de sécurité relatives aux noms de domaine personnalisés pour REST APIs dans API Gateway :
+ Vous ne pouvez pas activer le protocole TLS mutuel sur un nom de domaine qui utilise une politique de sécurité renforcée.
+ Vous ne pouvez pas associer une API HTTP à un nom de domaine qui utilise une politique de sécurité renforcée.
+ Si vous activez le mappage de chemins de base à plusieurs niveaux vers une API REST qui utilise une politique de sécurité renforcée, vous ne pouvez pas créer de mappage de chemin de base vers une API HTTP pour le même nom de domaine.
+ Votre API peut être mappée à un nom de domaine personnalisé avec une politique de sécurité différente de celle de votre API. Lorsque vous invoquez ce nom de domaine personnalisé, API Gateway utilise la politique de sécurité de l'API pour négocier le handshake TLS. La désactivation du point de terminaison de votre API par défaut peut avoir une incidence sur la manière dont les appelants peuvent invoquer votre API.
+ API Gateway prend en charge les politiques de sécurité pour tous APIs. Toutefois, vous ne pouvez choisir qu'une politique de sécurité pour REST APIs. API Gateway prend uniquement en charge la politique de `TLS_1_2` sécurité pour HTTP ou WebSocket APIs.
+ API Gateway ne prend pas en charge la mise à jour d'une politique de sécurité pour un nom de domaine comportant plusieurs types de points de terminaison. Si vous avez plusieurs types de point de terminaison pour un nom de domaine, supprimez l'un d'entre eux pour mettre à jour la politique de sécurité.

## Comment API Gateway applique les politiques de sécurité
<a name="apigateway-custom-domain-tls-version-understanding"></a>

L'exemple suivant montre comment API Gateway applique les politiques de sécurité en utilisant la politique de `SecurityPolicy_TLS13_1_3_2025_09` sécurité comme exemple.

La politique `SecurityPolicy_TLS13_1_3_2025_09` de sécurité accepte le trafic TLS 1.3 et rejette le trafic TLS 1.2 et TLS 1.0. Pour le trafic TLS 1.3, la politique de sécurité accepte les suites de chiffrement suivantes :
+ `TLS_AES_128_GCM_SHA256`
+ `TLS_AES_256_GCM_SHA384`
+ `TLS_CHACHA20_POLY1305_SHA256`

API Gateway n'accepte aucune autre suite de chiffrement. Par exemple, la politique de sécurité rejetterait tout trafic TLS 1.3 utilisant la suite de `AES128-SHA` chiffrement.

Pour contrôler le protocole TLS et les chiffrements utilisés par les clients pour accéder à votre API Gateway, vous pouvez utiliser les variables de `$context.cipherSuite` contexte `$context.tlsVersion` et dans vos journaux d'accès. Pour de plus amples informations, veuillez consulter [Surveillance des API REST dans API Gateway](rest-api-monitor.md).

Pour connaître les politiques de sécurité par défaut pour tous les noms de domaine REST APIs et personnalisés, voir[Politiques de sécurité par défaut](apigateway-security-policies-list.md#apigateway-security-policies-default). Pour connaître les politiques de sécurité prises en charge pour tous les noms de domaine REST APIs et personnalisés, consultez[Politiques de sécurité prises en charge](apigateway-security-policies-list.md).

## Modifier la politique de sécurité de votre nom de domaine personnalisé
<a name="apigateway-security-policies-update-custom-domain-name"></a>

Si vous modifiez votre politique de sécurité, la mise à jour prend environ 15 minutes. Vous pouvez surveiller votre nom `lastUpdateStatus` de domaine personnalisé. Au fur et à mesure que votre nom de domaine personnalisé `lastUpdateStatus` est mis à jour, il est `PENDING` et une fois terminé, il le sera`AVAILABLE`.

Lorsque vous utilisez une politique de sécurité commençant par`SecurityPolicy_`, vous devez également activer le mode d'accès aux terminaux. Pour de plus amples informations, veuillez consulter [Mode d’accès au point de terminaison](apigateway-security-policies.md#apigateway-security-policies-endpoint-access-mode).

------
#### [ AWS Management Console ]

**Pour modifier la politique de sécurité d'un nom de domaine personnalisé**

1. Connectez-vous à la console API Gateway à l'adresse [https://console.aws.amazon.com/apigateway.](https://console.aws.amazon.com/apigateway)

1. Choisissez un nom de domaine personnalisé qui envoie le trafic vers REST APIs.

   Assurez-vous qu'un seul type de point de terminaison est associé à votre nom de domaine personnalisé.

1. Choisissez **Paramètres de nom de domaine personnalisés**, puis sélectionnez **Modifier**.

1. Pour **Politique de sécurité**, sélectionnez une nouvelle stratégie.

1. Pour le **mode d'accès aux terminaux**, choisissez **Strict**.

1. Sélectionnez **Enregistrer les modifications**.

------
#### [ AWS CLI ]

La [update-domain-name](https://docs.aws.amazon.com/cli/latest/reference/apigateway/update-domain-name.html)commande suivante met à jour un nom de domaine afin d'utiliser la politique `SecurityPolicy_TLS13_1_3_2025_09` de sécurité :

```
aws apigateway update-domain-name \
    --domain-name example.com \
    --patch-operations '[
        {
            "op": "replace",
            "path": "/securityPolicy",
            "value": "SecurityPolicy_TLS13_1_3_2025_09"
        }, 
        {
            "op": "replace",
            "path": "/endpointAccessMode",
            "value": "STRICT"
        }
    ]'
```

Le résultat se présente comme suit :

```
{
   "domainName": "example.com",
   "endpointConfiguration": { 
      "types": [ "REGIONAL" ], 
      "ipAddressType": "dualstack" 
   },
   "regionalCertificateArn": "arn:aws:acm:us-west-2:111122223333:certificate/a1b2c3d4-5678-90ab-cdef",
   "securityPolicy": "SecurityPolicy_TLS13_1_3_2025_09",
   "endpointAccessMode": "STRICT"
}
```

------

## Informations sur HTTP APIs et WebSocket APIs
<a name="apigateway-rest-additional-apis"></a>

Pour plus d'informations sur le protocole HTTP APIs et WebSocket APIs, consultez [Politique de sécurité pour le protocole HTTP APIs dans API Gateway](http-api-ciphers.md) et[Politique de sécurité pour WebSocket APIs in API Gateway](websocket-api-ciphers.md).