Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Pilih kebijakan keamanan untuk domain kustom Anda di API Gateway
<a name="apigateway-custom-domain-tls-version"></a>

*Kebijakan keamanan* adalah kombinasi standar dari versi TLS minimum dan cipher suite yang ditawarkan oleh API Gateway. Saat klien Anda membuat handshake TLS ke API atau nama domain kustom Anda, kebijakan keamanan memberlakukan versi TLS dan cipher suite yang diterima oleh API Gateway. Kebijakan keamanan melindungi nama domain Anda APIs dan kustom dari masalah keamanan jaringan seperti gangguan dan penyadapan antara klien dan server.

API Gateway mendukung kebijakan keamanan lama dan kebijakan keamanan yang ditingkatkan. `TLS_1_0`dan `TLS_1_2` merupakan kebijakan keamanan warisan. Gunakan kebijakan keamanan ini untuk beban kerja umum, atau untuk mulai membuat API. Kebijakan apa pun yang dimulai `SecurityPolicy_` adalah kebijakan keamanan yang ditingkatkan. Gunakan kebijakan ini untuk beban kerja yang diatur, tata kelola lanjutan, atau untuk menggunakan kriptografi pascakuantum. Jika Anda menggunakan kebijakan keamanan yang ditingkatkan, Anda juga harus menetapkan mode akses titik akhir untuk tata kelola tambahan. Untuk informasi selengkapnya, lihat [Mode akses titik akhir](apigateway-security-policies.md#apigateway-security-policies-endpoint-access-mode).

## Pertimbangan
<a name="apigateway-custom-domain-tls-version-considerations"></a>

Berikut ini adalah pertimbangan untuk kebijakan keamanan untuk nama domain kustom untuk REST APIs di API Gateway:
+ Anda tidak dapat mengaktifkan TLS timbal balik pada nama domain yang menggunakan kebijakan keamanan yang disempurnakan.
+ Anda tidak dapat memetakan API HTTP ke nama domain yang menggunakan kebijakan keamanan yang disempurnakan.
+ Jika Anda mengaktifkan pemetaan jalur dasar multi-level ke REST API yang menggunakan kebijakan keamanan yang disempurnakan, Anda tidak dapat membuat pemetaan jalur dasar ke API HTTP untuk nama domain yang sama.
+ API Anda dapat dipetakan ke nama domain khusus dengan kebijakan keamanan yang berbeda dari API Anda. Saat Anda memanggil nama domain kustom tersebut, API Gateway menggunakan kebijakan keamanan API untuk menegosiasikan jabat tangan TLS. Jika Anda menonaktifkan titik akhir API default, hal ini dapat memengaruhi cara penelepon dapat menjalankan API Anda.
+ API Gateway mendukung kebijakan keamanan pada semua APIs. Namun, Anda hanya dapat memilih kebijakan keamanan untuk REST APIs. API Gateway hanya mendukung kebijakan `TLS_1_2` keamanan untuk HTTP atau WebSocket APIs.
+ API Gateway tidak mendukung pembaruan kebijakan keamanan untuk nama domain dengan beberapa tipe titik akhir. Jika Anda memiliki beberapa jenis titik akhir untuk nama domain, hapus salah satunya untuk memperbarui kebijakan keamanan.

## Bagaimana API Gateway menerapkan kebijakan keamanan
<a name="apigateway-custom-domain-tls-version-understanding"></a>

Contoh berikut menunjukkan bagaimana API Gateway menerapkan kebijakan keamanan menggunakan kebijakan `SecurityPolicy_TLS13_1_3_2025_09` keamanan sebagai contoh.

Kebijakan `SecurityPolicy_TLS13_1_3_2025_09` keamanan menerima lalu lintas TLS 1.3 dan menolak lalu lintas TLS 1.2 dan TLS 1.0. Untuk lalu lintas TLS 1.3, kebijakan keamanan menerima rangkaian sandi berikut:
+ `TLS_AES_128_GCM_SHA256`
+ `TLS_AES_256_GCM_SHA384`
+ `TLS_CHACHA20_POLY1305_SHA256`

API Gateway tidak menerima cipher suite lainnya. Misalnya, kebijakan keamanan akan menolak lalu lintas TLS 1.3 yang menggunakan `AES128-SHA` cipher suite.

Untuk memantau protokol TLS dan cipher klien yang digunakan untuk mengakses API Gateway Anda, Anda dapat menggunakan variabel `$context.tlsVersion` dan `$context.cipherSuite` konteks dalam log akses Anda. Untuk informasi selengkapnya, lihat [Pantau REST APIs di API Gateway](rest-api-monitor.md).

Untuk melihat kebijakan keamanan default untuk semua REST APIs dan nama domain kustom, lihat[Kebijakan keamanan default](apigateway-security-policies-list.md#apigateway-security-policies-default). Untuk melihat kebijakan keamanan yang didukung untuk semua REST APIs dan nama domain kustom, lihat[Kebijakan keamanan yang didukung](apigateway-security-policies-list.md).

## Ubah kebijakan keamanan nama domain kustom Anda
<a name="apigateway-security-policies-update-custom-domain-name"></a>

Jika Anda mengubah kebijakan keamanan Anda, dibutuhkan sekitar 15 menit untuk pembaruan selesai. Anda dapat memantau `lastUpdateStatus` nama domain kustom Anda. Saat nama domain kustom Anda diperbarui, `lastUpdateStatus` adalah `PENDING` dan ketika selesai, itu akan terjadi`AVAILABLE`.

Saat Anda menggunakan kebijakan keamanan yang dimulai`SecurityPolicy_`, Anda juga harus mengaktifkan mode akses titik akhir. Untuk informasi selengkapnya, lihat [Mode akses titik akhir](apigateway-security-policies.md#apigateway-security-policies-endpoint-access-mode).

------
#### [ Konsol Manajemen AWS ]

**Untuk mengubah kebijakan keamanan nama domain kustom**

1. Masuk ke konsol API Gateway di [https://console.aws.amazon.com/apigateway](https://console.aws.amazon.com/apigateway).

1. Pilih nama domain khusus yang mengirimkan lalu lintas ke REST APIs.

   Pastikan hanya ada satu jenis endpoint yang terkait dengan nama domain kustom Anda.

1. Pilih **Pengaturan nama domain khusus**, lalu pilih **Edit**.

1. Untuk **kebijakan Keamanan**, pilih kebijakan baru.

1. Untuk **mode akses Endpoint**, pilih **Strict**.

1. Pilih **Simpan perubahan**.

------
#### [ AWS CLI ]

[update-domain-name](https://docs.aws.amazon.com/cli/latest/reference/apigateway/update-domain-name.html)Perintah berikut memperbarui nama domain untuk menggunakan kebijakan `SecurityPolicy_TLS13_1_3_2025_09` keamanan:

```
aws apigateway update-domain-name \
    --domain-name example.com \
    --patch-operations '[
        {
            "op": "replace",
            "path": "/securityPolicy",
            "value": "SecurityPolicy_TLS13_1_3_2025_09"
        }, 
        {
            "op": "replace",
            "path": "/endpointAccessMode",
            "value": "STRICT"
        }
    ]'
```

Outputnya akan terlihat seperti berikut:

```
{
   "domainName": "example.com",
   "endpointConfiguration": { 
      "types": [ "REGIONAL" ], 
      "ipAddressType": "dualstack" 
   },
   "regionalCertificateArn": "arn:aws:acm:us-west-2:111122223333:certificate/a1b2c3d4-5678-90ab-cdef",
   "securityPolicy": "SecurityPolicy_TLS13_1_3_2025_09",
   "endpointAccessMode": "STRICT"
}
```

------

## Informasi tentang HTTP APIs dan WebSocket APIs
<a name="apigateway-rest-additional-apis"></a>

Untuk informasi lebih lanjut tentang HTTP APIs dan WebSocket APIs, lihat [Kebijakan keamanan untuk HTTP APIs di API Gateway](http-api-ciphers.md) dan[Kebijakan keamanan untuk WebSocket APIs di API Gateway](websocket-api-ciphers.md).