Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice di sicurezza in Amazon API Gateway
API Gateway fornisce una serie di caratteristiche di sicurezza che occorre valutare durante lo sviluppo e l'implementazione delle policy di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l'ambiente, gestiscile come considerazioni utili anziché prescrizioni.
- Implementazione dell'accesso con privilegi minimi
-
Utilizzare le policy IAM per implementare l'accesso con privilegi minimi per la creazione, la lettura, l'aggiornamento o l'eliminazione delle API di API Gateway. Per ulteriori informazioni, consulta Gestione delle identità e degli accessi per Amazon API Gateway. API Gateway offre diverse opzioni per controllare l'accesso alle API create. Per ulteriori informazioni, consulta Controlla e gestisci l'accesso a REST APIs in API Gateway, Controlla e gestisci l'accesso WebSocket APIs a API Gateway e Controlla l'accesso a HTTP APIs con gli autorizzatori JWT in API Gateway.
- Implementare la registrazione
-
Utilizzare CloudWatch Logs o Amazon Data Firehose per registrare i log delle richieste alle API. Per ulteriori informazioni, consulta Monitoraggio delle REST API in Gateway API, Configurazione della registrazione dei log per le API WebSocket in Gateway API e Configurare la registrazione per HTTP APIs in API Gateway.
- Implementazione degli allarmi Amazon CloudWatch
-
Utilizzando gli allarmi di CloudWatch, è possibile osservare un singolo parametro per il periodo di tempo specificato. Se il parametro supera una determinata soglia, viene inviata una notifica a un argomento Amazon Simple Notification Service o alla policy AWS Auto Scaling. Gli allarmi CloudWatch non richiamano azioni quando una metrica si trova in uno stato particolare. È necessario invece cambiare lo stato e mantenerlo per un numero di periodi specificato. Per ulteriori informazioni, consulta Monitora l'esecuzione delle API REST con i CloudWatch parametri di Amazon.
- Abilitazione di AWS CloudTrail
-
CloudTrail fornisce un record delle operazioni eseguite da un utente, un ruolo o un servizio AWS in API Gateway. Le informazioni raccolte da CloudTrail consentono di determinare la richiesta effettuata ad API Gateway, l'indirizzo IP da cui è partita la richiesta, l'autore della richiesta, il momento in cui è stata eseguita e altri dettagli. Per ulteriori informazioni, consulta Registrazione dei log delle chiamate API di Gateway Amazon API tramite AWS CloudTrail.
- Abilitazione di AWS Config
-
AWS Config fornisce una panoramica dettagliata della configurazione delle risorse AWS nel tuo account. Puoi vedere in che modo le risorse sono correlate, ottenere una cronologia delle modifiche alla configurazione ed esaminare come cambiano le relazioni e le configurazioni nel tempo. Puoi utilizzare AWS Config per definire regole che valutano le configurazioni delle risorse per la conformità dei dati. Le regole AWS Config rappresentano le impostazioni di configurazione ideali per le risorse API Gateway. Se una risorsa viola una regola e viene contrassegnata come non conforme, AWS Config può avvisare l'utente utilizzando un argomento Amazon Simple Notification Service (Amazon SNS). Per informazioni dettagliate, consulta Monitoraggio della configurazione API di API Gateway con AWS Config.
- Utilizzare AWS Security Hub CSPM
-
Monitora l'utilizzo di API Gateway riguardo alle best practice di sicurezza utilizzando AWS Security Hub CSPM. Security Hub utilizza controlli di sicurezza per valutare le configurazioni delle risorse e gli standard di sicurezza per aiutarti a rispettare vari framework di conformità. Per ulteriori informazioni sull'utilizzo di Security Hub volto a valutare le risorse Lambda, consulta i controlli di Amazon API Gateway nella Guida per l'utente di AWS Security Hub CSPM.
