Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Perlindungan data di Amazon API Gateway
[Model tanggung jawab AWS bersama model tanggung](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di Amazon API Gateway. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensyal dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan sumber daya. AWS Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan API Gateway atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.
# Enkripsi data di Amazon API Gateway
Perlindungan data mengacu pada melindungi data saat transit (saat bepergian ke dan dari API Gateway) dan saat istirahat (saat disimpan di AWS).
## Enkripsi data saat istirahat di Amazon API Gateway
Jika Anda memilih untuk mengaktifkan caching untuk REST API, Anda dapat mengaktifkan enkripsi cache. Untuk mempelajari selengkapnya, lihat [Pengaturan cache untuk REST APIs di API Gateway](api-gateway-caching.md).
Untuk informasi selengkapnya tentang perlindungan data, lihat postingan blog [Model Tanggung Jawab Bersama AWS dan GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.
### Enkripsi dan dekripsi kunci pribadi sertifikat Anda
**Saat Anda membuat nama domain khusus untuk pribadi APIs, sertifikat ACM dan kunci pribadi Anda dienkripsi menggunakan kunci KMS AWS terkelola yang memiliki alias aws/acm.** Anda dapat melihat ID kunci dengan alias ini di AWS KMS konsol di bawah **kunci AWS terkelola**.
API Gateway tidak langsung mengakses sumber daya ACM Anda. Ini menggunakan AWS TLS Connection Manager untuk mengamankan dan mengakses kunci pribadi untuk sertifikat Anda. Saat Anda menggunakan sertifikat ACM untuk membuat nama domain kustom API Gateway untuk pribadi APIs, API Gateway mengaitkan sertifikat Anda dengan AWS TLS Connection Manager. Ini dilakukan dengan membuat hibah AWS KMS terhadap Kunci AWS Terkelola Anda dengan awalan **aws/acm**. Hibah adalah instrumen kebijakan yang memungkinkan TLS Connection Manager untuk menggunakan kunci KMS dalam operasi kriptografi. Hibah ini memungkinkan prinsipal penerima hibah (TLS Connection Manager) untuk memanggil operasi hibah yang ditentukan pada kunci KMS untuk mendekripsi kunci pribadi sertifikat Anda. TLS Connection Manager kemudian menggunakan sertifikat dan kunci pribadi yang didekripsi (plaintext) untuk membuat koneksi aman (sesi SSL/TLS) dengan klien layanan API Gateway. Ketika sertifikat dipisahkan dari nama domain kustom API Gateway untuk pribadi APIs, hibah akan dihentikan.
Jika Anda ingin menghapus akses ke kunci KMS, kami sarankan Anda mengganti atau menghapus sertifikat dari layanan menggunakan Konsol Manajemen AWS atau `update-service` perintah di AWS CLI.
### Konteks enkripsi untuk API Gateway
[Konteks enkripsi](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) adalah kumpulan opsional pasangan kunci-nilai yang berisi informasi kontekstual tentang apa kunci pribadi Anda mungkin digunakan untuk. AWS KMS mengikat konteks enkripsi ke data terenkripsi dan menggunakannya sebagai data otentikasi tambahan untuk mendukung enkripsi yang diautentikasi.
Ketika kunci TLS Anda digunakan dengan API Gateway dan TLS Connection manager, nama layanan API Gateway Anda disertakan dalam konteks enkripsi yang digunakan untuk mengenkripsi kunci Anda saat istirahat. Anda dapat memverifikasi nama domain kustom API Gateway yang digunakan sertifikat dan kunci pribadi Anda dengan melihat konteks enkripsi di CloudTrail log Anda seperti yang ditunjukkan di bagian berikutnya, atau dengan melihat tab **Sumber Daya Terkait** di konsol ACM.
Untuk mendekripsi data, konteks enkripsi yang sama disertakan dalam permintaan. API Gateway menggunakan konteks enkripsi yang sama di semua operasi kriptografi AWS KMS, di mana kuncinya `aws:apigateway:arn` dan nilainya adalah Nama Sumber Daya Amazon (ARN) dari sumber daya API Gateway. `PrivateDomainName`
Contoh berikut menunjukkan konteks enkripsi dalam output dari operasi seperti`CreateGrant`.
```
"constraints": {
"encryptionContextEquals": {
"aws:acm:arn": "arn:aws:acm:us-west-2:859412291086:certificate/9177097a-f0ae-4be1-93b1-19f911ea4f88",
"aws:apigateway:arn": "arn:aws:apigateway:us-west-2:859412291086:/domainnames/denytest-part1.pdx.sahig.people.aws.dev+cbaeumzjhg"
}
},
"operations": [
"Decrypt"
],
"granteePrincipal": "tlsconnectionmanager.amazonaws.com"
```
## Enkripsi data dalam perjalanan di Amazon API Gateway
Yang APIs dibuat dengan Amazon API Gateway hanya mengekspos titik akhir HTTPS. API Gateway tidak mendukung titik akhir (HTTP) yang tidak terenkripsi.
API Gateway mengelola sertifikat untuk `execute-api` titik akhir default. Jika Anda mengonfigurasi nama domain kustom, [Anda menentukan sertifikat untuk nama domain](how-to-custom-domains.md#custom-domain-names-certificates). Sebagai praktik terbaik, jangan [menyematkan sertifikat](https://docs.aws.amazon.com/acm/latest/userguide/troubleshooting-pinning.html).
Untuk keamanan yang lebih baik, Anda dapat memilih versi protokol Transport Layer Security (TLS) minimum yang akan diterapkan untuk domain kustom API Gateway Anda. WebSocket APIs dan APIs dukungan HTTP hanya TLS 1.2. Untuk mempelajari selengkapnya, lihat [Pilih kebijakan keamanan untuk domain kustom Anda di API Gateway](apigateway-custom-domain-tls-version.md).
Anda juga dapat mengatur CloudFront distribusi Amazon dengan sertifikat SSL khusus di akun Anda dan menggunakannya dengan Regional APIs. Anda kemudian dapat mengonfigurasi kebijakan keamanan untuk CloudFront distribusi dengan TLS 1.1 atau lebih tinggi berdasarkan persyaratan keamanan dan kepatuhan Anda.
Untuk informasi selengkapnya tentang perlindungan data, lihat [Lindungi REST Anda APIs di API Gateway](rest-api-protect.md) dan posting blog [Model Tanggung Jawab AWS Bersama dan GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog AWS Keamanan*.
# Privasi lalu lintas antarjaringan
Menggunakan Amazon API Gateway, Anda dapat membuat REST pribadi APIs yang hanya dapat diakses dari Amazon Virtual Private Cloud (VPC). VPC menggunakan antarmuka [VPC endpoint, yang merupakan antarmuka jaringan endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) yang Anda buat di VPC Anda. Dengan menggunakan [kebijakan sumber daya](apigateway-private-api-create.md#apigateway-private-api-set-up-resource-policy), Anda dapat mengizinkan atau menolak akses ke API dari titik akhir yang dipilih VPCs dan VPC, termasuk di seluruh akun. AWS Setiap endpoint dapat digunakan untuk mengakses beberapa private APIs. Anda juga dapat menggunakan Direct Connect untuk membuat sambungan dari jaringan lokal ke Amazon VPC dan mengakses API pribadi Anda melalui koneksi tersebut. Dalam semua kasus, lalu lintas ke API pribadi Anda menggunakan koneksi aman dan tidak meninggalkan jaringan Amazon; itu terisolasi dari internet publik. Untuk mempelajari informasi lebih lanjut, lihat [REST pribadi APIs di API Gateway](apigateway-private-apis.md).