Pilih kebijakan keamanan untuk domain kustom Anda di API Gateway - Amazon API Gateway
PertimbanganBagaimana API Gateway menerapkan kebijakan keamananUbah kebijakan keamanan nama domain kustom AndaInformasi tentang HTTP APIs dan WebSocket APIs

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pilih kebijakan keamanan untuk domain kustom Anda di API Gateway

Kebijakan keamanan adalah kombinasi standar dari versi TLS minimum dan cipher suite yang ditawarkan oleh API Gateway. Saat klien Anda membuat handshake TLS ke API atau nama domain kustom Anda, kebijakan keamanan memberlakukan versi TLS dan cipher suite yang diterima oleh API Gateway. Kebijakan keamanan melindungi nama domain Anda APIs dan kustom dari masalah keamanan jaringan seperti gangguan dan penyadapan antara klien dan server.

API Gateway mendukung kebijakan keamanan lama dan kebijakan keamanan yang ditingkatkan. TLS_1_0dan TLS_1_2 merupakan kebijakan keamanan warisan. Gunakan kebijakan keamanan ini untuk beban kerja umum, atau untuk mulai membuat API. Kebijakan apa pun yang dimulai SecurityPolicy_ adalah kebijakan keamanan yang ditingkatkan. Gunakan kebijakan ini untuk beban kerja yang diatur, tata kelola lanjutan, atau untuk menggunakan kriptografi pascakuantum. Jika Anda menggunakan kebijakan keamanan yang ditingkatkan, Anda juga harus menetapkan mode akses titik akhir untuk tata kelola tambahan. Untuk informasi selengkapnya, lihat Mode akses titik akhir.

Pertimbangan

Berikut ini adalah pertimbangan untuk kebijakan keamanan untuk nama domain kustom untuk REST APIs di API Gateway:

  • Anda tidak dapat mengaktifkan TLS bersama pada nama domain yang menggunakan kebijakan keamanan yang ditingkatkan.

  • Anda tidak dapat memetakan API HTTP ke nama domain yang menggunakan kebijakan keamanan yang disempurnakan.

  • Jika Anda mengaktifkan pemetaan jalur dasar multi-level ke REST API yang menggunakan kebijakan keamanan yang disempurnakan, Anda tidak dapat membuat pemetaan jalur dasar ke API HTTP untuk nama domain yang sama.

  • API Anda dapat dipetakan ke nama domain khusus dengan kebijakan keamanan yang berbeda dari API Anda. Saat Anda memanggil nama domain kustom tersebut, API Gateway menggunakan kebijakan keamanan API untuk menegosiasikan jabat tangan TLS. Jika Anda menonaktifkan titik akhir API default, hal ini dapat memengaruhi cara penelepon dapat menjalankan API Anda.

  • API Gateway mendukung kebijakan keamanan pada semua APIs. Namun, Anda hanya dapat memilih kebijakan keamanan untuk REST APIs. API Gateway hanya mendukung kebijakan TLS_1_2 keamanan untuk HTTP atau WebSocket APIs.

  • API Gateway tidak mendukung pembaruan kebijakan keamanan untuk nama domain dengan beberapa tipe titik akhir. Jika Anda memiliki beberapa jenis titik akhir untuk nama domain, hapus salah satunya untuk memperbarui kebijakan keamanan.

Bagaimana API Gateway menerapkan kebijakan keamanan

Contoh berikut menunjukkan bagaimana API Gateway menerapkan kebijakan keamanan menggunakan kebijakan SecurityPolicy_TLS13_1_3_2025_09 keamanan sebagai contoh.

Kebijakan SecurityPolicy_TLS13_1_3_2025_09 keamanan menerima lalu lintas TLS 1.3 dan menolak lalu lintas TLS 1.2 dan TLS 1.0. Untuk lalu lintas TLS 1.3, kebijakan keamanan menerima rangkaian sandi berikut:

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

API Gateway tidak menerima cipher suite lainnya. Misalnya, kebijakan keamanan akan menolak lalu lintas TLS 1.3 yang menggunakan AES128-SHA cipher suite.

Untuk memantau protokol TLS dan cipher klien yang digunakan untuk mengakses API Gateway Anda, Anda dapat menggunakan variabel $context.tlsVersion dan $context.cipherSuite konteks dalam log akses Anda. Untuk informasi selengkapnya, lihat Pantau REST APIs di API Gateway.

Untuk melihat kebijakan keamanan default untuk semua REST APIs dan nama domain kustom, lihatKebijakan keamanan default. Untuk melihat kebijakan keamanan yang didukung untuk semua REST APIs dan nama domain khusus, lihatKebijakan keamanan yang didukung.

Ubah kebijakan keamanan nama domain kustom Anda

Jika Anda mengubah kebijakan keamanan Anda, dibutuhkan sekitar 15 menit untuk pembaruan selesai. Anda dapat memantau lastUpdateStatus nama domain kustom Anda. Saat nama domain kustom Anda diperbarui, lastUpdateStatus adalah PENDING dan ketika selesai, itu akan terjadiAVAILABLE.

Saat Anda menggunakan kebijakan keamanan yang dimulaiSecurityPolicy_, Anda juga harus mengaktifkan mode akses titik akhir. Untuk informasi selengkapnya, lihat Mode akses titik akhir.

Konsol Manajemen AWS
Untuk mengubah kebijakan keamanan nama domain kustom

  1. Masuk ke konsol API Gateway di https://console.aws.amazon.com/apigateway.

  2. Pilih nama domain khusus yang mengirimkan lalu lintas ke REST APIs.

    Pastikan hanya ada satu jenis endpoint yang terkait dengan nama domain kustom Anda.

  3. Pilih Pengaturan nama domain khusus, lalu pilih Edit.

  4. Untuk kebijakan Keamanan, pilih kebijakan baru.

  5. Untuk mode akses Endpoint, pilih Strict.

  6. Pilih Simpan perubahan.

AWS CLI

update-domain-namePerintah berikut memperbarui nama domain untuk menggunakan kebijakan SecurityPolicy_TLS13_1_3_2025_09 keamanan:

aws apigateway update-domain-name \
    --domain-name example.com \
    --patch-operations '[
        {
            "op": "replace",
            "path": "/securityPolicy",
            "value": "SecurityPolicy_TLS13_1_3_2025_09"
        }, 
        {
            "op": "replace",
            "path": "/endpointAccessMode",
            "value": "STRICT"
        }
    ]'

Outputnya akan terlihat seperti berikut:

{
   "domainName": "example.com",
   "endpointConfiguration": { 
      "types": [ "REGIONAL" ], 
      "ipAddressType": "dualstack" 
   },
   "regionalCertificateArn": "arn:aws:acm:us-west-2:111122223333:certificate/a1b2c3d4-5678-90ab-cdef",
   "securityPolicy": "SecurityPolicy_TLS13_1_3_2025_09",
   "endpointAccessMode": "STRICT"
}

Informasi tentang HTTP APIs dan WebSocket APIs

Untuk informasi lebih lanjut tentang HTTP APIs dan WebSocket APIs, lihat Kebijakan keamanan untuk HTTP APIs di API Gateway danKebijakan keamanan untuk WebSocket APIs di API Gateway.