API Gateway에서 사용자 지정 도메인에 대한 보안 정책 선택 - Amazon API Gateway
고려 사항API Gateway가 보안 정책을 적용하는 방법사용자 지정 도메인 이름의 보안 정책 변경HTTP API 및 WebSocket API에 대한 정보

API Gateway에서 사용자 지정 도메인에 대한 보안 정책 선택

보안 정책은 API Gateway가 제공하는 최소 TLS 버전과 암호 제품군의 사전 정의된 조합입니다. 클라이언트가 API 또는 사용자 맞춤형 도메인 이름에 대해 TLS 핸드셰이크를 설정할 때, 보안 정책은 API Gateway가 허용하는 TLS 버전 및 암호 제품군을 강제 적용합니다. 보안 정책은 API 및 사용자 지정 도메인 이름을 클라이언트와 서버 간의 변조 및 도청과 같은 네트워크 보안 문제로부터 보호합니다.

API Gateway는 레거시 보안 정책과 향상된 보안 정책을 지원합니다. TLS_1_0TLS_1_2는 레거시 보안 정책입니다. 일반화된 워크로드에 대해 이러한 보안 정책을 사용하거나 API 생성을 시작합니다. SecurityPolicy_로 시작하는 모든 정책은 향상된 보안 정책입니다. 규제 워크로드, 고급 거버넌스 또는 양자 내성 암호를 사용하려면 이러한 정책을 사용합니다. 향상된 보안 정책을 사용하는 경우 추가 거버넌스를 위해 엔드포인트 액세스 모드도 설정해야 합니다. 자세한 내용은 엔드포인트 액세스 모드 섹션을 참조하세요.

고려 사항

API Gateway의 REST API에 대한 사용자 지정 도메인 이름에 대한 보안 정책에 대한 고려 사항은 다음과 같습니다.

  • 향상된 보안 정책을 사용하는 도메인 이름에서는 상호 TLS를 활성화할 수 없습니다.

  • 향상된 보안 정책을 사용하는 도메인 이름에는 HTTP API를 매핑할 수 없습니다.

  • 향상된 보안 정책을 사용하는 REST API에 대한 다중 수준 기본 경로 매핑을 활성화하면 동일한 도메인 이름에 대해 HTTP API에 대한 기본 경로 매핑을 생성할 수 없습니다.

  • API는 API와 보안 정책이 다른 사용자 지정 도메인 이름에 매핑할 수 있습니다. 해당 사용자 지정 도메인 이름을 간접적으로 호출하면 API Gateway는 API의 보안 정책을 사용하여 TLS 핸드셰이크를 협상합니다. 기본 API 엔드포인트를 비활성화하면 직접 호출자가 API를 간접적으로 호출하는 방법에 영향을 미칠 수 있습니다.

  • API Gateway는 모든 API에서 보안 정책을 지원합니다. 하지만 REST API에 대해서만 보안 정책을 선택할 수 있습니다. API Gateway는 HTTP 또는 WebSocket API에 대한 TLS_1_2 보안 정책만 지원합니다.

  • API Gateway는 여러 엔드포인트 유형이 있는 도메인 이름에 대한 보안 정책 업데이트를 지원하지 않습니다. 도메인 이름에 여러 엔드포인트 유형이 있는 경우 이 중 하나를 삭제하여 보안 정책을 업데이트합니다.

API Gateway가 보안 정책을 적용하는 방법

다음 예제에서는 API Gateway가 보안 정책을 예로 사용하여 SecurityPolicy_TLS13_1_3_2025_09 보안 정책을 적용하는 방법을 보여 줍니다.

SecurityPolicy_TLS13_1_3_2025_09 보안 정책은 TLS 1.3 트래픽을 허용하고 TLS 1.2 및 TLS 1.0 트래픽은 거부합니다. TLS 1.3 트래픽의 경우 보안 정책은 다음 암호 그룹을 허용합니다.

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

API Gateway는 다른 암호 그룹을 허용하지 않습니다. 예를 들어 보안 정책은 암호 제품군을 사용하는 모든 TLS AES128-SHA 1.3 트래픽을 거부합니다.

API Gateway에 액세스하는 데 사용되는 TLS 프로토콜 및 암호 클라이언트를 모니터링하려면 액세스 로그에서 $context.tlsVersion$context.cipherSuite 컨텍스트 변수를 사용할 수 있습니다. 자세한 내용은 API Gateway에서 REST API 모니터링 섹션을 참조하세요.

모든 REST API와 사용자 지정 도메인 이름에 대한 기본 보안 정책을 보려면 기본 보안 정책 섹션을 참조하세요. 모든 REST API와 사용자 지정 도메인 이름에 대한 지원 보안 정책을 보려면 지원되는 보안 정책 섹션을 참조하세요.

사용자 지정 도메인 이름의 보안 정책 변경

보안 정책을 변경하는 경우 업데이트가 완료되는 데 약 15분이 걸립니다. 사용자 지정 도메인 이름의 lastUpdateStatus를 모니터링할 수 있습니다. 사용자 지정 도메인 이름이 업데이트되면 lastUpdateStatusPENDING이고 완료되면 AVAILABLE이 됩니다.

SecurityPolicy_로 시작하는 보안 정책을 사용하는 경우 엔드포인트 액세스 모드도 켜야 합니다. 자세한 내용은 엔드포인트 액세스 모드 섹션을 참조하세요.

AWS Management 콘솔
사용자 지정 도메인 이름의 보안 정책 변경

  1. https://console.aws.amazon.com/apigateway에서 API Gateway 콘솔에 로그인합니다.

  2. 트래픽을 REST API로 전송하는 사용자 지정 도메인 이름을 선택합니다.

    사용자 지정 도메인 이름과 연결된 엔드포인트 유형이 하나만 있는지 확인합니다.

  3. 사용자 지정 도메인 이름 설정을 선택한 다음 편집을 선택합니다.

  4. 보안 정책에서 새 정책을 선택합니다.

  5. 엔드포인트 액세스 모드에서 엄격을 선택합니다.

  6. 변경 사항 저장을 선택합니다.

AWS CLI

다음 update-domain-name 명령은 SecurityPolicy_TLS13_1_3_2025_09 보안 정책을 사용하도록 도메인 이름을 업데이트합니다.

aws apigateway update-domain-name \
    --domain-name example.com \
    --patch-operations '[
        {
            "op": "replace",
            "path": "/securityPolicy",
            "value": "SecurityPolicy_TLS13_1_3_2025_09"
        }, 
        {
            "op": "replace",
            "path": "/endpointAccessMode",
            "value": "STRICT"
        }
    ]'

출력은 다음과 같습니다.

{
   "domainName": "example.com",
   "endpointConfiguration": { 
      "types": [ "REGIONAL" ], 
      "ipAddressType": "dualstack" 
   },
   "regionalCertificateArn": "arn:aws:acm:us-west-2:111122223333:certificate/a1b2c3d4-5678-90ab-cdef",
   "securityPolicy": "SecurityPolicy_TLS13_1_3_2025_09",
   "endpointAccessMode": "STRICT"
}

HTTP API 및 WebSocket API에 대한 정보

HTTP APIs 및 WebSocket APIs에 대한 자세한 내용은 API Gateway의 HTTP API 보안 정책API Gateway의 WebSocket API 보안 정책을 참조합니다.