デフォルトのセキュリティポリシーリージョン API とプライベート API とカスタムドメイン名でサポートされるセキュリティポリシーエッジ最適化 API とカスタムドメイン名でサポートされるセキュリティポリシー OpenSSL および RFC の暗号名

Supported security policies

次の表では、各 REST API エンドポイントタイプとカスタムドメイン名に指定できるセキュリティポリシーについて説明します。これらのポリシーにより、受信接続を制御できます。API Gateway は、エグレスに TLS 1.2 のみをサポートします。API またはカスタムドメイン名のセキュリティポリシーはいつでも更新できます。

タイトルに FIPS が含まれるポリシーは、機密情報を保護する暗号モジュールのセキュリティ要件を規定する、米国およびカナダ政府の標準である連邦情報処理規格 (FIPS) と互換性があります。詳細については、「AWS クラウドセキュリティコンプライアンス」ページの「連邦情報処理規格 (FIPS) 140」を参照してください。

FIPS ポリシーはすべて AWS-LC FIPS で検証済みの暗号化モジュールを利用しています。詳細については、サイト「NIST Cryptographic Module Validation Program」の「AWS-LC Cryptographic Module」のページを参照してください。

タイトルに PQ が含まれるポリシーは、ポスト量子暗号 (PQC) を使用して TLS 用のハイブリッドキー交換アルゴリズムを実装し、将来の量子コンピューティングの脅威に対するトラフィックの機密性を確保します。

タイトルに PFS が含まれるポリシーは、Perfect Forward Secrecy (PFS) を使用して、セッションキーが侵害されないようにします。

タイトルに FIPS と PQ の両方が含まれるポリシーは、これらの機能の両方をサポートします。

デフォルトのセキュリティポリシー

新しい REST API またはカスタムドメインを作成すると、リソースにはデフォルトのセキュリティポリシーが割り当てられます。次の表は、これらのリソースのデフォルトのセキュリティポリシーを示しています。

リソース	デフォルトセキュリティポリシー名
リージョンの API	TLS_1_0
エッジ最適化 API	TLS_1_0
プライベート API	TLS_1_2
リージョンのドメイン	TLS_1_2
エッジ最適化ドメイン	TLS_1_2
プライベートドメイン	TLS_1_2

リージョン API とプライベート API とカスタムドメイン名でサポートされるセキュリティポリシー

次の表では、リージョン API、プライベート API、カスタムドメイン名に指定できるセキュリティポリシーについて説明します。

セキュリティポリシー	サポートされる TLS バージョン	サポートされる暗号
SecurityPolicy_TLS13_1_3_2025_09	TLS1.3	TLS1.3 TLS_AES_128_GCM_SHA256 TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256
SecurityPolicy_TLS13_1_3_FIPS_2025_09	TLS1.3	TLS1.3 TLS_AES_128_GCM_SHA256 TLS_AES_256_GCM_SHA384
SecurityPolicy_TLS13_1_2_PFS_PQ_2025_09	TLS1.3 TLS1.2	TLS1.3 TLS_AES_128_GCM_SHA256 TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS1.2 TLS_AES_128_GCM_SHA256 TLS_AES_256_GCM_SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384
SecurityPolicy_TLS13_1_2_PQ_2025_09	TLS1.3 TLS1.2	TLS1.3 TLS_AES_128_GCM_SHA256 TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS1.2 TLS_AES_128_GCM_SHA256 TLS_AES_256_GCM_SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 AES128-GCM-SHA256 AES128-SHA256 AES256-GCM-SHA384 AES256-SHA256
TLS_1_2	TLS1.3 TLS1.2	TLS1.3 TLS_AES_128_GCM_SHA256 TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS1.2 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 AES128-GCM-SHA256 AES128-SHA256 AES256-GCM-SHA384 AES256-SHA256
TLS_1_0	TLS1.3 TLS1.2 TLS1.1 TLS1.0	TLS1.3 TLS_AES_128_GCM_SHA256 TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS1.0-TLS1.2 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-RSA-AES128-SHA ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-RSA-AES256-SHA AES128-GCM-SHA256 AES128-SHA256 AES128-SHA AES256-GCM-SHA384 AES256-SHA256 AES256-SHA

エッジ最適化 API とカスタムドメイン名でサポートされるセキュリティポリシー

次の表では、エッジ最適化 API およびエッジ最適化カスタムドメイン名に指定できるセキュリティポリシーについて説明します。

セキュリティポリシー名	サポートされる TLS バージョン	サポートされる暗号
SecurityPolicy_TLS13_2025_EDGE	TLS1.3	TLS1.3 TLS_AES_128_GCM_SHA256 TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256
SecurityPolicy_TLS12_PFS_2025_EDGE	TLS1.3 TLS1.2	TLS1.3 TLS_AES_128_GCM_SHA256 TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS1.2 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256- GCM-SHA384 ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-CHACHA20-POLY1305
SecurityPolicy_TLS12_2018_EDGE	TLS1.3 TLS1.2	TLS1.3 TLS_AES_128_GCM_SHA256 TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS1.2 ECDHE-ECDSA-AES128- GCM-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256- GCM-SHA384 ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES256-SHA384
TLS_1_0	TLS1.3 TLS1.2 TLS1.1 TLS1.0	TLS1.3 TLS_AES_128_GCM_SHA256 TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS1.0-TLS1.2 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-RSA-AES128-SHA ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-RSA-AES256-SHA AES256-SHA256 AES256-SHA

OpenSSL および RFC の暗号名

OpenSSL と IETF RFC 5246 では、同じ暗号に異なる名前を使用します。以下の表では、各暗号化方式の OpenSSL 名から RFC 名までを示しています。詳細については、OpenSSL ドキュメントの「ciphers」を参照してください。

OpenSSL の暗号名	RFC の暗号名
TLS_AES_128_GCM_SHA256	TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384	TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256	TLS_CHACHA20_POLY1305_SHA256
ECDHE-RSA-AES128- GCM-SHA256	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDHE-RSA-AES128-SHA256	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
ECDHE-RSA-AES128-SHA	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
ECDHE-RSA-AES256- GCM-SHA384	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
ECDHE-RSA-AES256-SHA384	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
ECDHE-RSA-AES256-SHA	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
AES128-GCM-SHA256	TLS_RSA_WITH_AES_128_GCM_SHA256
AES256-GCM-SHA384	TLS_RSA_WITH_AES_256_GCM_SHA384
AES128-SHA256	TLS_RSA_WITH_AES_128_CBC_SHA256
AES256-SHA	TLS_RSA_WITH_AES_256_CBC_SHA
AES128-SHA	TLS_RSA_WITH_AES_128_CBC_SHA
DES-CBC3-SHA	TLS_RSA_WITH_3DES_EDE_CBC_SHA

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

セキュリティポリシー

セキュリティポリシーを変更する方法

Supported security policies

デフォルトのセキュリティポリシー

リージョン API とプライベート API とカスタムドメイン名でサポートされるセキュリティポリシー

TLS1.3

TLS1.3

TLS1.3

TLS1.2

TLS1.3

TLS1.2

TLS1.3

TLS1.2

TLS1.3

TLS1.0-TLS1.2

エッジ最適化 API とカスタムドメイン名でサポートされるセキュリティポリシー

TLS1.3

TLS1.3

TLS1.2

TLS1.3

TLS1.2

TLS1.3

TLS1.0-TLS1.2

OpenSSL および RFC の暗号名