Scegli una politica di sicurezza per il tuo dominio personalizzato in API Gateway - Gateway Amazon API
ConsiderazioniIn che modo API Gateway applica le politiche di sicurezzaModifica la politica di sicurezza del tuo nome di dominio personalizzatoInformazioni su HTTP APIs e WebSocket APIs

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scegli una politica di sicurezza per il tuo dominio personalizzato in API Gateway

Una policy di sicurezza è una combinazione predefinita di versione TLS minima e suite di crittografia offerta da Gateway API. Quando i tuoi clienti stabiliscono un handshake TLS per la tua API o il tuo nome di dominio personalizzato, la politica di sicurezza applica la versione TLS e la suite di crittografia accettate da API Gateway. Le politiche di sicurezza proteggono i tuoi nomi di dominio APIs e quelli personalizzati da problemi di sicurezza della rete, come la manomissione e l'intercettazione tra un client e un server.

API Gateway supporta policy di sicurezza legacy e policy di sicurezza avanzate. TLS_1_0e TLS_1_2 sono politiche di sicurezza obsolete. Utilizza queste politiche di sicurezza per carichi di lavoro generalizzati o per iniziare a creare un'API. Qualsiasi politica che inizia con SecurityPolicy_ è una politica di sicurezza avanzata. Utilizza queste policy per carichi di lavoro regolamentati, governance avanzata o per utilizzare la crittografia post-quantistica. Quando utilizzi una policy di sicurezza avanzata, devi anche impostare la modalità di accesso agli endpoint per una governance aggiuntiva. Per ulteriori informazioni, consulta Modalità di accesso agli endpoint.

Considerazioni

Di seguito sono riportate le considerazioni relative alle politiche di sicurezza per i nomi di dominio personalizzati per REST APIs in API Gateway:

  • Non è possibile abilitare il TLS reciproco su un nome di dominio che utilizza una politica di sicurezza avanzata.

  • Non è possibile mappare un'API HTTP a un nome di dominio che utilizza una politica di sicurezza avanzata.

  • Se abiliti la mappatura del percorso di base a più livelli su un'API REST che utilizza una politica di sicurezza avanzata, non puoi creare una mappatura del percorso di base su un'API HTTP per lo stesso nome di dominio.

  • La tua API può essere mappata su un nome di dominio personalizzato con una politica di sicurezza diversa dalla tua API. Quando richiami quel nome di dominio personalizzato, API Gateway utilizza la politica di sicurezza dell'API per negoziare l'handshake TLS. Se si disabilita l’endpoint API predefinito, si potrebbe influire sul modo in cui i chiamanti possono invocare l’API.

  • API Gateway supporta le politiche di sicurezza su tutti APIs. Tuttavia, puoi scegliere solo una politica di sicurezza per REST APIs. API Gateway supporta solo la politica TLS_1_2 di sicurezza per HTTP o WebSocket APIs.

  • API Gateway non supporta l'aggiornamento di una policy di sicurezza per un nome di dominio con più tipi di endpoint. Se disponi di più tipi di endpoint per un nome di dominio, eliminane uno per aggiornare la politica di sicurezza.

In che modo API Gateway applica le politiche di sicurezza

L'esempio seguente mostra come API Gateway applica le policy di SecurityPolicy_TLS13_1_3_2025_09 sicurezza utilizzando la policy di sicurezza come esempio.

La politica SecurityPolicy_TLS13_1_3_2025_09 di sicurezza accetta il traffico TLS 1.3 e rifiuta il traffico TLS 1.2 e TLS 1.0. Per il traffico TLS 1.3, la politica di sicurezza accetta le seguenti suite di crittografia:

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

API Gateway non accetta altre suite di crittografia. Ad esempio, la politica di sicurezza rifiuterebbe qualsiasi traffico TLS 1.3 che utilizza la suite di crittografia. AES128-SHA

Per monitorare il protocollo TLS e i client di crittografia utilizzati per accedere al tuo API Gateway, puoi utilizzare le variabili $context.tlsVersion e di $context.cipherSuite contesto nei tuoi log di accesso. Per ulteriori informazioni, consulta Monitoraggio delle REST API in Gateway API.

Per visualizzare le politiche di sicurezza predefinite per tutti i nomi di dominio REST APIs e personalizzati, consulta. Politiche di sicurezza predefinite Per visualizzare le politiche di sicurezza supportate per tutti i nomi di dominio REST APIs e personalizzati, vederePolitiche di sicurezza supportate.

Modifica la politica di sicurezza del tuo nome di dominio personalizzato

Se modifichi la politica di sicurezza, il completamento dell'aggiornamento richiede circa 15 minuti. Puoi monitorare il tuo nome lastUpdateStatus di dominio personalizzato. Man mano che il nome di dominio personalizzato lastUpdateStatus viene aggiornato, lo sarà PENDING e quando sarà AVAILABLE completato.

Quando utilizzi una politica di sicurezza che inizia conSecurityPolicy_, devi anche attivare la modalità di accesso agli endpoint. Per ulteriori informazioni, consulta Modalità di accesso agli endpoint.

Console di gestione AWS
Per modificare la politica di sicurezza di un nome di dominio personalizzato

  1. Accedi alla console API Gateway all'indirizzo https://console.aws.amazon.com/apigateway.

  2. Scegli un nome di dominio personalizzato che invii il traffico a REST. APIs

    Assicurati che ci sia un solo tipo di endpoint associato al tuo nome di dominio personalizzato.

  3. Scegli Impostazioni personalizzate del nome di dominio, quindi scegli Modifica.

  4. Per Politica di sicurezza, seleziona una nuova politica.

  5. Per la modalità di accesso agli endpoint, scegli Strict.

  6. Scegli Save changes (Salva modifiche).

AWS CLI

Il update-domain-namecomando seguente aggiorna un nome di dominio per utilizzare la politica SecurityPolicy_TLS13_1_3_2025_09 di sicurezza:

aws apigateway update-domain-name \
    --domain-name example.com \
    --patch-operations '[
        {
            "op": "replace",
            "path": "/securityPolicy",
            "value": "SecurityPolicy_TLS13_1_3_2025_09"
        }, 
        {
            "op": "replace",
            "path": "/endpointAccessMode",
            "value": "STRICT"
        }
    ]'

L'output sarà simile al seguente:

{
   "domainName": "example.com",
   "endpointConfiguration": { 
      "types": [ "REGIONAL" ], 
      "ipAddressType": "dualstack" 
   },
   "regionalCertificateArn": "arn:aws:acm:us-west-2:111122223333:certificate/a1b2c3d4-5678-90ab-cdef",
   "securityPolicy": "SecurityPolicy_TLS13_1_3_2025_09",
   "endpointAccessMode": "STRICT"
}

Informazioni su HTTP APIs e WebSocket APIs

Per ulteriori informazioni su HTTP APIs e WebSocket APIs, vedere Policy di sicurezza per le API HTTP in Gateway API ePolicy di sicurezza per API WebSocket in Gateway API.