Menggunakan kebijakan titik akhir VPC secara pribadi APIs di API Gateway - Amazon API Gateway
Pertimbangan kebijakan titik akhir VPCContoh kebijakan titik akhir VPCContoh 1: Kebijakan titik akhir VPC yang memberikan akses ke dua APIsContoh 2: Kebijakan titik akhir VPC yang memberikan akses ke metode GETContoh 3: Kebijakan titik akhir VPC yang memberikan akses pengguna tertentu ke API tertentuContoh 4: Kebijakan titik akhir VPC yang memberikan pengguna akses ke nama domain khusus tertentu dan setiap API yang dipetakan ke domainContoh 5: Kebijakan titik akhir VPC yang memberikan atau menolak akses ke sumber daya spesifik dan domain APIs Contoh 6: Kebijakan titik akhir VPC yang memberikan atau menolak akses oleh kepala sekolah dan sumber daya milik suatu organisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kebijakan titik akhir VPC secara pribadi APIs di API Gateway

Untuk meningkatkan keamanan API pribadi Anda, Anda dapat membuat kebijakan titik akhir VPC. Kebijakan titik akhir VPC adalah kebijakan sumber daya IAM yang Anda lampirkan ke titik akhir VPC. Untuk informasi selengkapnya, lihat Mengontrol Akses ke Layanan dengan VPC Endpoints.

Anda mungkin ingin membuat kebijakan titik akhir VPC untuk melakukan tugas-tugas berikut.

  • Izinkan hanya organisasi atau sumber daya tertentu untuk mengakses titik akhir VPC Anda dan menjalankan API Anda.

  • Gunakan satu kebijakan dan hindari kebijakan berbasis sesi atau berbasis peran untuk mengontrol lalu lintas ke API Anda.

  • Kencangkan perimeter keamanan aplikasi Anda saat bermigrasi dari tempat ke AWS lokasi.

Pertimbangan kebijakan titik akhir VPC

Berikut ini adalah pertimbangan untuk kebijakan titik akhir VPC Anda:

  • Identitas invoker dievaluasi berdasarkan nilai Authorization header. Kebijakan titik akhir VPC dievaluasi terlebih dahulu, lalu API Gateway mengevaluasi permintaan, berdasarkan jenis otorisasi yang dikonfigurasi pada permintaan metode. Tabel berikut menunjukkan bagaimana kebijakan titik akhir VPC dievaluasi berdasarkan isi nilai header. Authorization

    Isi dari nilai Authorization header

    Bagaimana kebijakan titik akhir VPC dievaluasi
    Tidak ada konten Invoker dievaluasi sebagai pengguna anonim
    Tanda tangan SiGv4 yang valid Pemanggil dievaluasi sebagai identitas IAM yang diautentikasi dari tanda tangan
    Tanda tangan SiGv4 tidak valid API Gateway menolak akses
    Informasi otorisasi non-SIGV4 seperti token pembawa Invoker dievaluasi sebagai pengguna anonim

  • Jika kontrol akses Anda bergantung pada penggunaan token pembawa, seperti Lambda atau otorisasi Amazon Cognito, Anda dapat mengontrol perimeter keamanan Anda dengan menggunakan properti sumber daya.

  • Jika kontrol otorisasi Anda menggunakan otorisasi IAM, Anda dapat mengontrol perimeter keamanan Anda dengan menggunakan properti sumber daya dan properti prinsipal.

  • Kebijakan titik akhir VPC dapat digunakan bersama dengan kebijakan sumber daya API Gateway. Kebijakan sumber daya API Gateway menentukan prinsipal mana yang dapat mengakses API. Kebijakan endpoint menentukan siapa yang dapat mengakses VPC dan mana yang APIs dapat dipanggil dari titik akhir VPC. API pribadi Anda memerlukan kebijakan sumber daya tetapi Anda tidak perlu membuat kebijakan titik akhir VPC kustom.

Contoh kebijakan titik akhir VPC

Anda dapat membuat kebijakan untuk titik akhir Amazon Virtual Private Cloud untuk Amazon API Gateway di mana Anda dapat menentukan yang berikut ini.

  • Prinsipal yang dapat melakukan tindakan.

  • Tindakan yang dapat dilakukan.

  • Sumber daya yang dapat memiliki tindakan yang dilakukan pada mereka.

Ini mungkin tergantung pada isi header otorisasi Anda. Untuk informasi selengkapnya, lihat Pertimbangan kebijakan titik akhir VPC. Untuk kebijakan contoh tambahan, lihat Contoh kebijakan perimeter data di GitHub situs web.

Untuk melampirkan kebijakan ke titik akhir VPC, Anda harus menggunakan konsol VPC. Untuk informasi selengkapnya, lihat Mengontrol Akses ke Layanan dengan VPC Endpoints.

Contoh 1: Kebijakan titik akhir VPC yang memberikan akses ke dua APIs

Contoh kebijakan berikut memberikan akses ke hanya dua spesifik APIs melalui titik akhir VPC yang dilampirkan kebijakan tersebut.

{
    "Statement": [
        {
            "Principal": "*",
            "Action": [
                "execute-api:Invoke"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/*",
                "arn:aws:execute-api:us-east-1:123412341234:aaaaa11111/*"
            ]
        }
    ]
}

Contoh 2: Kebijakan titik akhir VPC yang memberikan akses ke metode GET

Contoh kebijakan berikut memberi pengguna akses ke GET metode untuk API tertentu melalui titik akhir VPC tempat kebijakan dilampirkan.

{
    "Statement": [
        {
            "Principal": "*",
            "Action": [
                "execute-api:Invoke"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/stageName/GET/*"
            ]
        }
    ]
}

Contoh 3: Kebijakan titik akhir VPC yang memberikan akses pengguna tertentu ke API tertentu

Contoh kebijakan berikut memberikan akses pengguna tertentu ke API tertentu melalui titik akhir VPC tempat kebijakan dilampirkan.

Dalam hal ini, karena kebijakan membatasi akses ke prinsipal IAM tertentu, Anda harus menyetel metode ke atauauthorizationType. AWS_IAM NONE

{
    "Statement": [
        {
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123412341234:user/MyUser"
                ]
            },
            "Action": [
                "execute-api:Invoke"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/*"
            ]
        }
    ]
}

Contoh 4: Kebijakan titik akhir VPC yang memberikan pengguna akses ke nama domain khusus tertentu dan setiap API yang dipetakan ke domain

Contoh kebijakan berikut memberi pengguna akses ke nama domain khusus khusus untuk pribadi APIs melalui titik akhir VPC tempat kebijakan dilampirkan. Dengan kebijakan ini, selama pengguna telah membuat asosiasi akses nama domain antara titik akhir VPC dan nama domain kustom dan diberikan akses untuk memanggil nama domain kustom dan API pribadi apa pun yang dipetakan ke nama domain kustom, pengguna dapat memanggil apa pun APIs yang dipetakan ke nama domain kustom ini. Untuk informasi selengkapnya, lihat Nama domain khusus untuk pribadi APIs di API Gateway.

{
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "execute-api:Invoke",
      "Resource": [
        "*"
      ],
       "Condition": {
        "ArnEquals": {
          "execute-api:viaDomainArn": "arn:aws:execute-api:us-west-2:111122223333:/domainnames/private.test.com+f4g5h6",
        }
      }
    }
  ]
}

Contoh 5: Kebijakan titik akhir VPC yang memberikan atau menolak akses ke sumber daya spesifik dan domain APIs

Contoh kebijakan berikut memberi pengguna akses ke sumber daya tertentu APIs dan domain. Dengan kebijakan ini, selama pengguna telah membuat asosiasi akses nama domain antara titik akhir VPC dan nama domain kustom dan diberikan akses untuk memanggil nama domain kustom dan API pribadi apa pun yang dipetakan ke nama domain kustom, pengguna dapat memanggil sumber daya pribadi dan domain yang diizinkan. APIs Untuk informasi selengkapnya, lihat Nama domain khusus untuk pribadi APIs di API Gateway.

{
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "execute-api:Invoke",
      "Resource": [
        "arn:aws:execute-api:us-west-2:111122223333:/domainnames/private.test.com+f4g5h6",
        "arn:aws:execute-api:us-west-2:111122223333:a1b2c3d4e5/*"
      ]
    },
    {
      "Effect": "Deny",
      "Principal": {
        "AWS": "*"
      },
      "Action": "execute-api:Invoke",
      "Resource": [
        "arn:aws:execute-api:us-west-2:111122223333:a1b2c3d4e5/admin/*",
        "arn:aws:execute-api:us-west-2:111122223333:bcd123455/*"
      ]
    }
  ]
}

Contoh 6: Kebijakan titik akhir VPC yang memberikan atau menolak akses oleh kepala sekolah dan sumber daya milik suatu organisasi

Contoh kebijakan berikut memberikan akses ke kepala sekolah dan sumber daya milik organisasi.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Condition": {
                "StringEquals": {
                    "aws:ResourceOrgID": "o-abcd1234",
                    "aws:PrincipalOrgID": "o-abcd1234"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources"
        }
    ]
}