API Gateway でカスタムドメインのセキュリティポリシーを選択する - Amazon API Gateway
考慮事項API Gateway がセキュリティポリシーを適用する方法カスタムドメイン名のセキュリティポリシーを変更するHTTP API と WebSocket API に関する情報

API Gateway でカスタムドメインのセキュリティポリシーを選択する

セキュリティポリシーは、API Gateway が提供する TLS の最小バージョンと暗号スイートの事前定義された組み合わせです。クライアントが API またはカスタムドメイン名への TLS ハンドシェイクを確立すると、セキュリティポリシーにより、API Gateway で受け入れられる TLS バージョンと暗号スイートが適用されます。セキュリティポリシーは、クライアントとサーバー間の改ざんや盗聴などのセキュリティの問題から API とカスタムドメイン名を保護します。

API Gateway は、レガシーセキュリティポリシーと拡張セキュリティポリシーをサポートしています。TLS_1_0 および TLS_1_2 はレガシーセキュリティポリシーです。これらのセキュリティポリシーを一般化されたワークロードに使用するか、API の作成を開始します。SecurityPolicy_ で始まるポリシーは、拡張セキュリティポリシーです。これらのポリシーは、規制対象のワークロード、高度なガバナンス、またはポスト量子暗号化に使用します。拡張セキュリティポリシーを使用する場合は、追加のガバナンスのためにエンドポイントアクセスモードも設定する必要があります。詳細については、「エンドポイントアクセスモード」を参照してください。

考慮事項

API Gateway の REST API のカスタムドメイン名のセキュリティポリシーに関する考慮事項を次に示します。

  • 拡張セキュリティポリシーを使用するドメイン名で相互 TLS を有効にすることはできません。

  • 拡張セキュリティポリシーを使用するドメイン名に HTTP API をマッピングすることはできません。

  • 拡張セキュリティポリシーを使用する REST API へのマルチレベルベースパスマッピングを有効にすると、同じドメイン名の HTTP API へのベースパスマッピングを作成することはできません。

  • API は、その API とは異なるセキュリティポリシーのカスタムドメイン名にマッピングできます。そのカスタムドメイン名を呼び出すと、API Gateway は API のセキュリティポリシーを使用して TLS ハンドシェイクをネゴシエートします。デフォルトの API エンドポイントを無効にすると、発信者が API を呼び出す方法が影響を受ける可能性があります。

  • API Gateway は、すべての API でセキュリティポリシーをサポートしています。ただし、REST API のセキュリティポリシーのみを選択できます。API Gateway は、HTTP または WebSocket API の TLS_1_2 セキュリティポリシーのみをサポートします。

  • API Gateway は、複数のエンドポイントタイプを持つドメイン名のセキュリティポリシーの更新をサポートしていません。ドメイン名に複数のエンドポイントタイプがある場合は、そのうちの 1 つを削除してセキュリティポリシーを更新します。

API Gateway がセキュリティポリシーを適用する方法

次の例は、API Gateway が SecurityPolicy_TLS13_1_3_2025_09 セキュリティポリシーを例として使用してセキュリティポリシーを適用する方法を示しています。

SecurityPolicy_TLS13_1_3_2025_09 セキュリティポリシーは、TLS 1.3 トラフィックを受け入れ、TLS 1.2 および TLS 1.0 トラフィックを拒否します。TLS 1.3 トラフィックの場合、セキュリティポリシーは次の暗号スイートを受け入れます。

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

API Gateway は、他の暗号スイートを受け付けません。例えば、セキュリティポリシーは、AES128-SHA 暗号スイートを使用する TLS 1.3 トラフィックを拒否します。

API Gateway へのアクセスに使用した TLS プロトコルと暗号クライアントをモニタリングするには、アクセスログで $context.tlsVersion および $context.cipherSuite コンテキスト変数を使用できます。詳細については、「API Gateway で REST API をモニタリングする」を参照してください。

すべての REST API およびカスタムドメイン名のデフォルトのセキュリティポリシーを確認するには、「デフォルトのセキュリティポリシー」を参照してください。すべての REST API およびカスタムドメイン名でサポートされているセキュリティポリシーを確認するには、「Supported security policies」を参照してください。

カスタムドメイン名のセキュリティポリシーを変更する

セキュリティポリシーを変更すると、更新が完了するまでに約 15 分かかります。カスタムドメイン名の lastUpdateStatus をモニタリングできます。カスタムドメイン名が更新されると、lastUpdateStatusPENDING になり、完了すると AVAILABLE になります。

SecurityPolicy_ で始まるセキュリティポリシーを使用する場合は、エンドポイントアクセスモードもオンにする必要があります。詳細については、「エンドポイントアクセスモード」を参照してください。

AWS マネジメントコンソール
カスタムドメイン名のセキュリティポリシーを変更するには

  1. https://console.aws.amazon.com/apigateway で API Gateway コンソールにサインインします。

  2. REST API にトラフィックを送信するカスタムドメイン名を選択します。

    カスタムドメイン名に関連付けられているエンドポイントタイプが 1 つだけであることを確認します。

  3. [カスタムドメイン名設定] を選択し、[編集] を選択します。

  4. [セキュリティポリシー] で、新しいポリシーを選択します。

  5. [エンドポイントアクセスモード] で、[厳格] を選択します。

  6. [Save changes] (変更の保存) をクリックします。

AWS CLI

次の update-domain-name コマンドは、SecurityPolicy_TLS13_1_3_2025_09 セキュリティポリシーを使用するようにドメイン名を更新します。

aws apigateway update-domain-name \
    --domain-name example.com \
    --patch-operations '[
        {
            "op": "replace",
            "path": "/securityPolicy",
            "value": "SecurityPolicy_TLS13_1_3_2025_09"
        }, 
        {
            "op": "replace",
            "path": "/endpointAccessMode",
            "value": "STRICT"
        }
    ]'

出力は次のようになります。

{
   "domainName": "example.com",
   "endpointConfiguration": { 
      "types": [ "REGIONAL" ], 
      "ipAddressType": "dualstack" 
   },
   "regionalCertificateArn": "arn:aws:acm:us-west-2:111122223333:certificate/a1b2c3d4-5678-90ab-cdef",
   "securityPolicy": "SecurityPolicy_TLS13_1_3_2025_09",
   "endpointAccessMode": "STRICT"
}

HTTP API と WebSocket API に関する情報

HTTP API と WebSocket API の詳細については、「API Gateway での HTTP API のセキュリティポリシー」と「API Gateway での WebSocket API のセキュリティポリシー」を参照してください。