Kebijakan keamanan untuk REST APIs di API Gateway - Amazon API Gateway
Bagaimana API Gateway menerapkan kebijakan keamananMode akses titik akhirPertimbangan-pertimbangan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan keamanan untuk REST APIs di API Gateway

Kebijakan keamanan adalah kombinasi standar dari versi TLS minimum dan cipher suite yang ditawarkan oleh API Gateway. Saat klien Anda membuat jabat tangan TLS ke API atau nama domain kustom Anda, kebijakan keamanan memberlakukan versi TLS dan cipher suite yang diterima oleh API Gateway. Kebijakan keamanan melindungi nama domain Anda APIs dan kustom dari masalah keamanan jaringan seperti gangguan dan penyadapan antara klien dan server.

API Gateway mendukung kebijakan keamanan lama dan kebijakan keamanan yang ditingkatkan. TLS_1_0dan TLS_1_2 merupakan kebijakan keamanan warisan. Gunakan kebijakan keamanan ini untuk kompatibilitas mundur. Kebijakan apa pun yang dimulai SecurityPolicy_ adalah kebijakan keamanan yang ditingkatkan. Gunakan kebijakan ini untuk beban kerja yang diatur, tata kelola lanjutan, atau untuk menggunakan kriptografi pasca-kuantum. Bila Anda menggunakan kebijakan keamanan yang disempurnakan, Anda juga harus menetapkan mode akses titik akhir untuk tata kelola tambahan. Untuk informasi selengkapnya, lihat Mode akses titik akhir.

Bagaimana API Gateway menerapkan kebijakan keamanan

Contoh berikut menunjukkan bagaimana API Gateway menerapkan kebijakan keamanan menggunakan kebijakan SecurityPolicy_TLS13_1_3_2025_09 keamanan sebagai contoh.

Kebijakan SecurityPolicy_TLS13_1_3_2025_09 keamanan menerima lalu lintas TLS 1.3 dan menolak lalu lintas TLS 1.2 dan TLS 1.0. Untuk lalu lintas TLS 1.3, kebijakan keamanan menerima rangkaian sandi berikut:

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

API Gateway tidak menerima cipher suite lainnya. Misalnya, kebijakan keamanan akan menolak lalu lintas TLS 1.3 yang menggunakan AES128-SHA cipher suite. Untuk informasi selengkapnya tentang versi dan cipher TLS yang didukung, lihat. Kebijakan keamanan yang didukung

Untuk memantau protokol TLS dan cipher klien yang digunakan untuk mengakses API Gateway Anda, Anda dapat menggunakan variabel $context.tlsVersion dan $context.cipherSuite konteks dalam log akses Anda. Untuk informasi selengkapnya, lihat Pantau REST APIs di API Gateway.

Mode akses titik akhir

Mode akses titik akhir adalah parameter tambahan yang harus Anda tentukan untuk REST API atau nama domain kustom apa pun yang menggunakan kebijakan keamanan yang ditingkatkan yang dimulai denganSecurityPolicy_. Anda melakukannya saat membuat sumber daya atau jika Anda mengubah kebijakan keamanan dari kebijakan lama menjadi kebijakan yang disempurnakan.

Saat mode akses titik akhir disetel keSTRICT, permintaan apa pun ke REST API atau nama domain kustom Anda harus melewati pemeriksaan berikut:

  • Permintaan harus berasal dari jenis titik akhir API Gateway yang sama dengan sumber daya Anda. Ini bisa dari Regional, titik akhir yang dioptimalkan tepi, atau pribadi.

  • Jika Anda menggunakan endpoint Regional atau pribadi, API Gateway menggunakan pencocokan host SNI. Jika Anda menggunakan titik akhir yang dioptimalkan tepi, API Gateway sesuai dengan perlindungan fronting domain CloudFront. Untuk informasi selengkapnya, lihat Domain fronting.

Jika salah satu dari kondisi ini tidak terpenuhi, API Gateway menolak permintaan tersebut. Kami menyarankan Anda menggunakan mode akses STRICT titik akhir jika memungkinkan.

Untuk memigrasikan API atau nama domain yang ada agar menggunakan mode akses titik akhir yang ketat, perbarui kebijakan keamanan Anda terlebih dahulu ke kebijakan keamanan yang disempurnakan dan tetapkan mode akses titik akhir. BASIC Setelah Anda memvalidasi lalu lintas dan log akses Anda, atur mode akses titik akhir ke. STRICT Saat Anda memigrasikan mode akses titik akhir dari STRICT keBASIC, titik akhir Anda tidak akan tersedia selama sekitar 15 menit saat perubahan menyebar.

Anda tidak boleh menyetel mode akses titik akhir STRICT untuk arsitektur aplikasi tertentu dan sebagai gantinya mengatur mode akses titik akhir ke. BASIC Tabel berikut menunjukkan beberapa arsitektur aplikasi dan rekomendasi sehingga REST API atau nama domain kustom Anda dapat menggunakan mode akses STRICT endpoint.

Arsitektur Migrasi yang disarankan

Menggunakan titik akhir VPC untuk mengakses nama domain kustom publik.

Arsitektur ini menggunakan lalu lintas tipe cross-endpoint. Kami menyarankan Anda untuk bermigrasi keNama domain khusus untuk pribadi APIs di API Gateway.

Menggunakan metode apa pun untuk memanggil API pribadi yang tidak menggunakan nama domain khusus atau nama DNS pribadi.

Arsitektur ini menciptakan ketidakcocokan antara header host dan SNI yang digunakan dalam jabat tangan TLS dan tidak melewati CloudFront batasan fronting domain. Kami menyarankan Anda memigrasikan VPC Anda untuk menggunakan DNS pribadi.

Menggunakan domain sharding untuk mendistribusikan konten di beberapa domain atau subdomain.

Arsitektur ini menciptakan ketidakcocokan antara header host dan SNI yang digunakan dalam jabat tangan TLS dan tidak melewati CloudFront batasan fronting domain. Kami menyarankan Anda menggunakan HTTP/2 dan bermigrasi dari anti-pola ini.

Berikut ini adalah pertimbangan untuk menggunakan mode akses titik akhir:

  • Jika mode akses titik akhir API atau nama domain adalahSTRICT, Anda tidak dapat mengubah jenis titik akhir. Untuk mengubah tipe titik akhir, pertama-tama ubah mode akses titik akhir menjadi. BASIC

  • Setelah Anda mengubah mode akses titik akhir dari BASIC keSTRICT, ada penundaan 15 menit bagi API Gateway untuk menerapkan mode akses titik akhir yang ketat.

  • Jika Anda mengubah kebijakan keamanan dari kebijakan yang dimulai dengan SecurityPolicy_ kebijakan lama, Anda harus membatalkan pengaturan mode akses titik akhir. ""

Pertimbangan-pertimbangan

Berikut ini adalah pertimbangan untuk kebijakan keamanan untuk REST APIs di API Gateway:

  • Anda dapat mengimpor kebijakan keamanan dalam file definisi OpenAPI. Untuk informasi selengkapnya, lihat x-amazon-apigateway-endpoint-modus akses.

  • API Anda dapat dipetakan ke nama domain khusus dengan kebijakan keamanan yang berbeda dari API Anda. Saat Anda memanggil nama domain kustom tersebut, API Gateway menggunakan kebijakan keamanan API untuk menegosiasikan jabat tangan TLS. Jika Anda menonaktifkan titik akhir API default, hal ini dapat memengaruhi cara penelepon dapat menjalankan API Anda.

  • Jika Anda mengubah kebijakan keamanan Anda, dibutuhkan sekitar 15 menit untuk pembaruan selesai. Anda dapat memantau apiStatus API Anda. Saat API Anda diperbarui, apiStatus adalah UPDATING dan ketika selesai, itu akan terjadiAVAILABLE. Ketika status API AndaUPDATING, Anda masih dapat memanggilnya.

  • API Gateway mendukung kebijakan keamanan pada semua APIs. Namun, Anda hanya dapat memilih kebijakan keamanan untuk REST APIs. API Gateway hanya mendukung kebijakan TLS_1_2 keamanan untuk HTTP atau WebSocket APIs.

  • Anda tidak dapat memperbarui kebijakan keamanan untuk API dari TLS_1_0 keTLS_1_2.

  • Beberapa kebijakan keamanan mendukung rangkaian sandi ECDSA dan RSA. Jika Anda menggunakan jenis kebijakan ini dengan nama domain kustom, rangkaian sandi cocok dengan jenis kunci sertifikat yang disediakan pelanggan, baik RSA atau ECDSA. Jika Anda menggunakan jenis kebijakan ini dengan REST API, cipher suite cocok dengan cipher suite yang kompatibel dengan tipe sertifikat RSA.