# Supported security policies
<a name="apigateway-security-policies-list"></a>

次の表では、各 REST API エンドポイントタイプとカスタムドメイン名に指定できる[セキュリティポリシー](apigateway-security-policies.md)について説明します。これらのポリシーにより、受信接続を制御できます。API Gateway は、エグレスに TLS 1.2 のみをサポートします。API またはカスタムドメイン名のセキュリティポリシーはいつでも更新できます。

タイトルに `FIPS` が含まれるポリシーは、機密情報を保護する暗号モジュールのセキュリティ要件を規定する、米国およびカナダ政府の標準である連邦情報処理規格 (FIPS) と互換性があります。詳細については、「*AWS クラウドセキュリティコンプライアンス*」ページの「[連邦情報処理規格 (FIPS) 140](https://aws.amazon.com/compliance/fips/)」を参照してください。

FIPS ポリシーはすべて AWS-LC FIPS で検証済みの暗号化モジュールを利用しています。詳細については、サイト「*NIST Cryptographic Module Validation Program*」の「[AWS-LC Cryptographic Module](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4631)」のページを参照してください。

タイトルに `PQ` が含まれるポリシーは、[ポスト量子暗号 (PQC)](https://aws.amazon.com/security/post-quantum-cryptography/) を使用して TLS 用のハイブリッドキー交換アルゴリズムを実装し、将来の量子コンピューティングの脅威に対するトラフィックの機密性を確保します。

タイトルに `PFS` が含まれるポリシーは、[Perfect Forward Secrecy (PFS)](https://en.wikipedia.org/wiki/Forward_secrecy) を使用して、セッションキーが侵害されないようにします。

タイトルに `FIPS` と `PQ` の両方が含まれるポリシーは、これらの機能の両方をサポートします。

## デフォルトのセキュリティポリシー
<a name="apigateway-security-policies-default"></a>

新しい REST API またはカスタムドメインを作成すると、リソースにはデフォルトのセキュリティポリシーが割り当てられます。次の表は、これらのリソースのデフォルトのセキュリティポリシーを示しています。


| **リソース** | **デフォルトセキュリティポリシー名** | 
| --- | --- | 
| リージョンの API | TLS\_1\_0 | 
| エッジ最適化 API | TLS\_1\_0 | 
| プライベート API | TLS\_1\_2 | 
| リージョンのドメイン | TLS\_1\_2 | 
| エッジ最適化ドメイン | TLS\_1\_2 | 
| プライベートドメイン | TLS\_1\_2 | 

## リージョン API とプライベート API とカスタムドメイン名でサポートされるセキュリティポリシー
<a name="apigateway-security-policies-non-edge"></a>

次の表では、リージョン API、プライベート API、カスタムドメイン名に指定できるセキュリティポリシーについて説明します。


| **セキュリティポリシー** | **サポートされる TLS バージョン** | **サポートされる暗号** | 
| --- | --- | --- | 
| SecurityPolicy\_TLS13\_1\_3\_2025\_09 | TLS1.3 |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-security-policies-list.html)  | 
| SecurityPolicy\_TLS13\_1\_3\_FIPS\_2025\_09 | TLS1.3 |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-security-policies-list.html)  | 
| SecurityPolicy\_TLS13\_1\_2\_FIPS\_PFS\_PQ\_2025\_09 | TLS1.3<br />TLS1.2 |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-security-policies-list.html) [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-security-policies-list.html)  | 
| SecurityPolicy\_TLS13\_1\_2\_PFS\_PQ\_2025\_09 | TLS1.3<br />TLS1.2 |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-security-policies-list.html) [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-security-policies-list.html)  | 
| SecurityPolicy\_TLS13\_1\_2\_PQ\_2025\_09 | TLS1.3<br />TLS1.2 |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-security-policies-list.html) [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-security-policies-list.html)  | 
| SecurityPolicy\_TLS13\_1\_2\_2021\_06 | TLS1.3<br />TLS1.2 |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-security-policies-list.html) [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-security-policies-list.html)  | 
| TLS\_1\_2 | TLS1.3<br />TLS1.2 |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-security-policies-list.html) [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-security-policies-list.html)  | 
| TLS\_1\_0 | TLS1.3<br />TLS1.2<br />TLS1.1<br />TLS1.0 |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-security-policies-list.html) [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-security-policies-list.html)  | 

## エッジ最適化 API とカスタムドメイン名でサポートされるセキュリティポリシー
<a name="apigateway-security-policies-edge-optimized"></a>

次の表では、エッジ最適化 API およびエッジ最適化カスタムドメイン名に指定できるセキュリティポリシーについて説明します。


| **セキュリティポリシー名** | **サポートされる TLS バージョン** | **サポートされる暗号** | 
| --- | --- | --- | 
| SecurityPolicy\_TLS13\_2025\_EDGE | TLS1.3 |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-security-policies-list.html)  | 
| SecurityPolicy\_TLS12\_PFS\_2025\_EDGE | TLS1.3<br />TLS1.2 |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-security-policies-list.html) [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-security-policies-list.html)  | 
| SecurityPolicy\_TLS12\_2018\_EDGE | TLS1.3<br />TLS1.2 |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-security-policies-list.html) [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-security-policies-list.html)  | 
| TLS\_1\_0 | TLS1.3<br />TLS1.2<br />TLS1.1<br />TLS1.0 |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-security-policies-list.html) [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/apigateway-security-policies-list.html)  | 

## OpenSSL および RFC の暗号名
<a name="apigateway-secure-connections-openssl-rfc-cipher-names"></a>

OpenSSL と IETF RFC 5246 では、同じ暗号に異なる名前を使用します。以下の表では、各暗号化方式の OpenSSL 名 から RFC 名までを示しています。詳細については、OpenSSL ドキュメントの「[ciphers](https://docs.openssl.org/1.1.1/man1/ciphers/)」を参照してください。


| **OpenSSL の暗号名** | **RFC の暗号名** | 
| --- | --- | 
| TLS\_AES\_128\_GCM\_SHA256 | TLS\_AES\_128\_GCM\_SHA256 | 
| TLS\_AES\_256\_GCM\_SHA384 | TLS\_AES\_256\_GCM\_SHA384 | 
| TLS\_CHACHA20\_POLY1305\_SHA256 | TLS\_CHACHA20\_POLY1305\_SHA256 | 
| ECDHE-RSA-AES128- GCM-SHA256 | TLS\_ECDHE\_RSA\_WITH\_AES\_128\_GCM\_SHA256 | 
| ECDHE-RSA-AES128-SHA256 | TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA256  | 
| ECDHE-RSA-AES128-SHA | TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA | 
| ECDHE-RSA-AES256- GCM-SHA384 | TLS\_ECDHE\_RSA\_WITH\_AES\_256\_GCM\_SHA384  | 
| ECDHE-RSA-AES256-SHA384 | TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA384  | 
| ECDHE-RSA-AES256-SHA | TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA | 
| AES128-GCM-SHA256 | TLS\_RSA\_WITH\_AES\_128\_GCM\_SHA256 | 
| AES256-GCM-SHA384 | TLS\_RSA\_WITH\_AES\_256\_GCM\_SHA384 | 
| AES128-SHA256 | TLS\_RSA\_WITH\_AES\_128\_CBC\_SHA256 | 
| AES256-SHA | TLS\_RSA\_WITH\_AES\_256\_CBC\_SHA | 
| AES128-SHA | TLS\_RSA\_WITH\_AES\_128\_CBC\_SHA | 
| DES-CBC3-SHA | TLS\_RSA\_WITH\_3DES\_EDE\_CBC\_SHA |