Gérer APIs

Une gestion appropriée des API rend vos microservices accessibles aux consommateurs internes et externes. AWS propose une variété de services que vous pouvez utiliser ensemble pour exposer en toute sécurité votre microservice APIs. Ces services vous permettent de renforcer votre sécurité APIs et de mettre en œuvre la surveillance et l'observabilité à partir d'un emplacement central. Vous pouvez également utiliser Amazon CloudFront pour améliorer les performances si vos utilisateurs APIs sont géographiquement éloignés de l'endroit Région AWS où les services sont hébergés.

Amazon API Gateway

Amazon API Gateway est un service entièrement géré qui permet aux développeurs de créer, publier, gérer, surveiller et sécuriser REST, WebSocket APIs à n'importe quelle échelle. Vous pouvez utiliser API Gateway pour implémenter de nombreux modèles décrits dans la section Modèles de communication de ce guide.

Il existe deux principaux types de REST APIs : REST et HTTP. Les deux types sont compatibles RESTful APIs mais offrent des fonctionnalités différentes. Pour déterminer celui qui répond le mieux à vos besoins, consultez Choisir entre REST APIs et HTTP APIs dans la documentation d'API Gateway. Cette section du guide se concentre sur API Gateway REST APIs.

En utilisant API Gateway comme point d'entrée, vous disposez d' APIs un point unique pour mettre en œuvre les préoccupations communes, telles que la validation et la sécurité des demandes. API Gateway REST APIs propose la validation des demandes, qui vous permet de définir le format de vos demandes à l'aide du schéma JSON. API Gateway valide les demandes entrantes par rapport au schéma que vous avez défini et rejette les demandes mal formées.

Authentification et autorisation

API Gateway REST APIs prend en charge les mécanismes d'authentification (AuthN) et d'autorisation (AuthZ) suivants :

IAM — Si vous utilisez IAM, les demandes adressées à votre API doivent être signées à l'aide de AWS Signature Version 4 (SigV4).
Amazon Cognito — API Gateway validera le jeton porteur présenté comme ayant été émis par un groupe d'utilisateurs Amazon Cognito. Vous pouvez également configurer votre groupe d'utilisateurs Amazon Cognito pour l'intégrer à un fournisseur d'identité (IdP) tiers, si vous en utilisez déjà un. Vous pouvez également utiliser un groupe d'utilisateurs Amazon Cognito pour l'authentification machine-to-machine (M2M).
AWS Lambda authorizer — API Gateway invoquera une fonction Lambda que vous spécifiez pour effectuer les vérifications que vous souhaitez, afin de déterminer si une demande doit être autorisée.

Pour plus d'informations, consultez la section Contrôler et gérer l'accès à REST APIs dans la documentation d'API Gateway.

Clés d'API et limites de débit

Vous pouvez contrôler qui est autorisé à vous appeler APIs et à quel rythme en utilisant des clés API et des plans d'utilisation. Les clés d'API ne doivent pas être utilisées pour l'authentification mais peuvent être utilisées conjointement avec les schémas mentionnés précédemment. Les utilisateurs n'ont pas toujours besoin de fournir leur propre clé d'API. Par exemple, les autorisateurs Lambda peuvent renvoyer une clé d'API à un utilisateur. Le plan d'utilisation vous permet de définir le débit, la limite de rafale et le quota mensuel. Pour plus d'informations, consultez la section Plans d'utilisation et clés d'API pour REST APIs dans la documentation d'API Gateway.

Public et privé APIs

Les API Gateway APIs REST accessibles via Internet prennent en charge deux types de points de terminaison :

Optimisé pour les périphériques, ce qui signifie que les demandes des appelants sont acheminées vers un CloudFront point de présence (POP) proche. Cela peut se traduire par une amélioration des performances pour des clients géographiquement disparates.
Régional, ce qui signifie que les demandes sont acheminées vers une ressource au sein d'une ressource spécifique Région AWS. C'est un bon choix lorsque tous vos clients se trouvent à proximité de la région où votre API est déployée.

API Gateway REST prend APIs également en charge les points de terminaison d'API privés, accessibles depuis un cloud privé virtuel (VPC) à l'aide d'un point de terminaison VPC d'interface. Vous pouvez également partager en toute sécurité un REST privé APIs en créant des points de terminaison VPC d'interface dans d'autres VPCs et même dans d'autres. Comptes AWS Pour plus d'informations, consultez la section Types de points de terminaison d'API pour REST APIs dans la documentation d'API Gateway.

Quand utiliser API Gateway

API Gateway est un bon choix pour les services RESTful Web et les WebSocket connexions en temps réel. Lorsque vous l'utilisez WebSocket APIs dans API Gateway, vous pouvez ajouter un comportement pour les événements de connexion et de déconnexion, tels que le stockage de la connexion IDs dans un magasin de données externe associé aux attributs du client. Vous pouvez également acheminer les demandes vers des comportements personnalisés à l'aide d'attributs de message.

REST et WebSocket APIs peuvent s'intégrer directement à de nombreuses applications Services AWS sans nécessiter de ressources de calcul distinctes telles que les fonctions Lambda. Cela peut améliorer les performances et réduire les coûts.

REST APIs prend en charge le routage basé sur les chemins et les en-têtes, et vous pouvez les utiliser séparément ou ensemble. Un modèle courant consiste à fournir une API REST comme porte d'entrée pour un certain nombre de personnes APIs, à mettre en œuvre des préoccupations communes, comme indiqué précédemment, puis à se comporter comme un proxy inverse et à acheminer les demandes autorisées vers le point de terminaison d'API approprié.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Choix de votre approche de coordination

Messagerie