API エンドポイントの保護 (BP4) - AWS DDoSレジリエンシーのベストプラクティス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

API エンドポイントの保護 (BP4)

API を一般に公開する必要がある場合、APIフロントエンドがDDoS攻撃のターゲットになるリスクがあります。リスクを軽減するために、Amazon API Gateway を Amazon EC2、、 AWS Lambdaまたはその他の場所で実行されているアプリケーションへのエントリウェイとして使用できます。Amazon API Gateway を使用すると、APIフロントエンドに独自のサーバーが不要になり、アプリケーションの他のコンポーネントを難読化できます。アプリケーションのコンポーネントを検出しにくくすることで、これらの AWS リソースがDDoS攻撃のターゲットにならないようにすることができます。

Amazon API Gateway を使用する場合、2 種類のAPIエンドポイントから選択できます。1 つ目は、Amazon CloudFront ディストリビューションを介してアクセスされるエッジ最適化APIエンドポイントのデフォルトのオプションです。ただし、ディストリビューションは API Gateway によって作成および管理されるため、ユーザーはディストリビューションを制御できません。2 番目のオプションは、 が AWS リージョン RESTAPIデプロイされているのと同じ からアクセスされるリージョンAPIエンドポイントを使用することです。 AWS では、2 番目のタイプのエンドポイントを使用し、独自の Amazon CloudFront ディストリビューションに関連付けることをお勧めします。これにより、Amazon CloudFront ディストリビューションを制御し、アプリケーションレイヤーの保護に AWS WAF を使用できるようになります。このモードでは、 AWS グローバルエッジネットワーク全体でスケーリングされたDDoS緩和性能にアクセスできます。

Amazon Gateway AWS WAF で Amazon CloudFront および API を使用する場合は、次のオプションを設定します。

  • すべてのヘッダーを API Gateway リージョンエンドポイントに転送するようにディストリビューションのキャッシュ動作を設定します。これにより、 はコンテンツを動的として扱い、コンテンツのキャッシュをスキップ CloudFront します。

  • API Gateway でAPIキー値を設定して、オリジンカスタムヘッダー を含めるようにディストリビューションを設定することで x-api-key、APIゲートウェイを直接アクセスから保護します。

  • でメソッドごとに標準またはバーストレート制限を設定することで、過剰なトラフィックからバックエンドを保護しますRESTAPIs。

Amazon API Gateway APIsで を作成する方法の詳細については、「Amazon API Gateway 入門」を参照してください。