Scelta di una policy di sicurezza per il dominio personalizzato REST API in Gateway API
Per aumentare la sicurezza del dominio personalizzato Gateway Amazon API è possibile scegliere una policy di sicurezza nella console Gateway API, in AWS CLI o in un AWS SDK.
Una policy di sicurezza è una combinazione predefinita di versione TLS minima e suite di crittografia offerta da Gateway API. Puoi scegliere una policy di sicurezza con TLS versione 1.2 o TLS versione 1.0. Il protocollo TLS affronta i problemi di sicurezza della rete, ad esempio manomissioni e intercettazioni tra un client e un server. Quando i client stabiliscono un handshake TLS sull'API tramite il dominio personalizzato, la policy di sicurezza applica la versione di TLS e le opzioni del pacchetto di crittografia che i client possono scegliere di utilizzare.
Nelle impostazioni del dominio personalizzato, una policy di sicurezza determina due impostazioni:
-
La versione di TLS minima che API Gateway utilizza per comunicare con i client dell'API
-
La crittografia che API Gateway utilizza per crittografare i contenuti che restituirà ai client dell'API
Se si sceglie una policy di sicurezza TLS 1.0, la policy di sicurezza accetta il traffico TLS 1.0, TLS 1.1, TLS 1.2 e TLS 1.3. Se si sceglie una policy di sicurezza TLS 1.2, la policy di sicurezza accetta il traffico TLS 1.2 e TLS 1.3 e rifiuta il traffico TLS 1.0.
Nota
È possibile specificare una sola policy di sicurezza per ogni dominio personalizzato. Per un'API che utilizza un endpoint predefinito, Gateway API usa la seguente policy di sicurezza:
Per le API ottimizzate per l'edge:
TLS-1-0Per le API regionali:
TLS-1-0Per le API private:
TLS-1-2
Le crittografie di ogni policy di sicurezza sono descritte nelle tabelle seguenti in questa pagina.
Argomenti
Come specificare una policy di sicurezza per domini personalizzati
Quando si crea un nome di dominio personalizzato, si specifica la relativa policy di sicurezza. Per informazioni su come creare un dominio personalizzato, consulta Configurazione di un nome di dominio personalizzato ottimizzato per l'edge in Gateway API o Configurazione di un nome di dominio personalizzato regionale in Gateway API.
Per modificare la policy di sicurezza del nome di dominio personalizzato, aggiornare le impostazioni del dominio personalizzato. È possibile aggiornare le impostazioni del nome di dominio personalizzato tramite AWS Management Console, AWS CLI o un AWS SDK.
Quando si usa la REST API di Gateway API o AWS CLI, si specifica la nuova versione TLS, TLS_1_0 o TLS_1_2, nel parametro securityPolicy. Per ulteriori informazioni, consulta domainname:update in Amazon API Gateway REST API Reference o update-domain-name in AWS CLI Reference.
Il completamento dell'operazione di aggiornamento potrebbe richiedere alcuni minuti.
Policy di sicurezza, versioni del protocollo TLS e crittografie supportate per domini personalizzati ottimizzati per l'edge
La tabella seguente descrive le policy di sicurezza che si possono specificare per i nomi di dominio personalizzati ottimizzati per l'edge.
Protocolli TLS |
Policy di sicurezza TLS_1_0 |
Policy di sicurezza TLS_1_2 |
|---|---|---|
| TLSv1.3 | ||
| TLSv1.2 | ||
| TLSv1.1 | ||
| TLSv1 |
La tabella seguente descrive le crittografie TLS disponibili per ogni policy di sicurezza.
Crittografie TLS |
Policy di sicurezza TLS_1_0 |
Policy di sicurezza TLS_1_2 |
|---|---|---|
| TLS_AES_128_GCM_SHA256 | ||
| TLS_AES_256_GCM_SHA384 | ||
| TLS_CHACHA20_POLY1305_SHA256 | ||
| ECDHE-ECDSA-AES128-GCM-SHA256 | ||
| ECDHE-ECDSA-AES128-SHA256 | ||
| ECDHE-ECDSA-AES128-SHA | ||
| ECDHE-ECDSA-AES256-GCM-SHA384 | ||
| ECDHE-ECDSA-CHACHA20-POLY1305 | ||
| ECDHE-ECDSA-AES256-SHA384 | ||
| ECDHE-ECDSA-AES256-SHA | ||
| ECDHE-RSA-AES128-GCM-SHA256 | ||
| ECDHE-RSA-AES128-SHA256 | ||
| ECDHE-RSA-AES128-SHA | ||
| ECDHE-RSA-AES256-GCM-SHA384 | ||
| ECDHE-RSA-CHACHA20-POLY1305 | ||
| ECDHE-RSA-AES256-SHA384 | ||
| ECDHE-RSA-AES256-SHA | ||
| AES128-GCM-SHA256 | ||
| AES256-GCM-SHA384 | ||
| AES128-SHA256 | ||
| AES256-SHA | ||
| AES128-SHA | ||
| DES-CBC3-SHA |
Policy di sicurezza, versioni del protocollo TLS e crittografie supportate per domini personalizzati regionali
La tabella seguente descrive le policy di sicurezza per i nomi di dominio personalizzati regionali.
Protocolli TLS |
Policy di sicurezza TLS_1_0 |
Policy di sicurezza TLS_1_2 |
|---|---|---|
TLSv1.3 |
||
TLSv1.2 |
||
TLSv1.1 |
||
TLSv1 |
La tabella seguente descrive le crittografie TLS disponibili per ogni policy di sicurezza.
Crittografie TLS |
Policy di sicurezza TLS_1_0 |
Policy di sicurezza TLS_1_2 |
|---|---|---|
TLS_AES_128_GCM_SHA256 |
||
TLS_AES_256_GCM_SHA384 |
||
TLS_CHACHA20_POLY1305_SHA256 |
||
ECDHE-ECDSA-AES128-GCM-SHA256 |
||
ECDHE-RSA-AES128-GCM-SHA256 |
||
ECDHE-ECDSA-AES128-SHA256 |
||
ECDHE-RSA-AES128-SHA256 |
||
ECDHE-ECDSA-AES128-SHA |
||
ECDHE-RSA-AES128-SHA |
||
ECDHE-ECDSA-AES256-GCM-SHA384 |
||
ECDHE-RSA-AES256-GCM-SHA384 |
||
ECDHE-ECDSA-AES256-SHA384 |
||
ECDHE-RSA-AES256-SHA384 |
||
ECDHE-RSA-AES256-SHA |
||
ECDHE-ECDSA-AES256-SHA |
||
AES128-GCM-SHA256 |
||
AES128-SHA256 |
||
AES128-SHA |
||
AES256-GCM-SHA384 |
||
AES256-SHA256 |
||
AES256-SHA |
Versioni del protocollo TLS e crittografie supportate per API private
La tabella seguente descrive i protocolli TLS supportati per le API private. La specifica di una policy di sicurezza per le API private non è supportata.
Protocolli TLS |
Policy di sicurezza TLS_1_2 |
|---|---|
TLSv1.2 |
La tabella seguente descrive le crittografie TLS disponibili per la policy di sicurezza TLS_1_2 per le API private.
Crittografie TLS |
Policy di sicurezza TLS_1_2 |
|---|---|
ECDHE-ECDSA-AES128-GCM-SHA256 |
|
ECDHE-RSA-AES128-GCM-SHA256 |
|
ECDHE-ECDSA-AES128-SHA256 |
|
ECDHE-RSA-AES128-SHA256 |
|
| ECDHE-ECDSA-AES256-GCM-SHA384 | |
| ECDHE-RSA-AES256-GCM-SHA384 | |
| ECDHE-ECDSA-AES256-SHA384 | |
| ECDHE-RSA-AES256-SHA384 | |
| AES128-GCM-SHA256 | |
| AES128-SHA256 | |
| AES256-GCM-SHA384 | |
| AES256-SHA256 |
OpenSSL e nomi crittografia RFC
OpenSSL e IETF RFC 5246 utilizzano nomi diversi per le stesse crittografie. La tabella seguente mappa il nome OpenSSL al nome RFC per ogni crittografia. Per ulteriori informazioni, consultare ciphers
Nome crittografia OpenSSL |
Nome crittografia RFC |
|---|---|
TLS_AES_128_GCM_SHA256 |
TLS_AES_128_GCM_SHA256 |
TLS_AES_256_GCM_SHA384 |
TLS_AES_256_GCM_SHA384 |
TLS_CHACHA20_POLY1305_SHA256 |
TLS_CHACHA20_POLY1305_SHA256 |
ECDHE-RSA-AES128-GCM-SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
ECDHE-RSA-AES128-SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
ECDHE-RSA-AES128-SHA |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
ECDHE-RSA-AES256-GCM-SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
ECDHE-RSA-AES256-SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
ECDHE-RSA-AES256-SHA |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
AES128-GCM-SHA256 |
TLS_RSA_WITH_AES_128_GCM_SHA256 |
AES256-GCM-SHA384 |
TLS_RSA_WITH_AES_256_GCM_SHA384 |
AES128-SHA256 |
TLS_RSA_WITH_AES_128_CBC_SHA256 |
AES256-SHA |
TLS_RSA_WITH_AES_256_CBC_SHA |
AES128-SHA |
TLS_RSA_WITH_AES_128_CBC_SHA |
DES-CBC3-SHA |
TLS_RSA_WITH_3DES_EDE_CBC_SHA |
Informazioni sulle API HTTP e sulle API WebSocket
Per ulteriori informazioni sulle API HTTP e sulle API WebSocket, consulta Policy di sicurezza per le API HTTP in Gateway API e Policy di sicurezza per API WebSocket in Gateway API.
