Escolher uma política de segurança para o domínio personalizado no API Gateway - Amazon API Gateway
ConsideraçõesComo o API Gateway aplica políticas de segurançaAlterar a política de segurança do seu nome de domínio personalizadoInformações sobre APIs HTTP e APIs de WebSocket

Escolher uma política de segurança para o domínio personalizado no API Gateway

Uma política de segurança é uma combinação predefinida da versão mínima do TLS e dos pacotes de criptografia oferecida pelo Amazon API Gateway. Quando seus clientes estabelecem um handshake do TLS para a API ou o nome do domínio personalizado, a política de segurança aplica a versão do TLS e o pacote de criptografia aceitos pelo API Gateway. As políticas de segurança protegem suas APIs e nomes de domínio personalizados contra problemas de segurança de rede, como violação e espionagem entre um cliente e o servidor.

O API Gateway aceita políticas de segurança legadas e políticas de segurança aprimoradas. TLS_1_0 e TLS_1_2 são políticas de segurança legadas. Use essas políticas de segurança para workloads generalizadas ou para começar a criar uma API. Qualquer política que comece com SecurityPolicy_ é uma política de segurança aprimorada. Use essas políticas para workloads reguladas, governança avançada ou para usar criptografia pós-quântica. Ao usar uma política de segurança aprimorada, você também deve definir o modo de acesso ao endpoint para governança adicional. Para obter mais informações, consulte Modo de acesso ao endpoint.

Considerações

Veja a seguir algumas considerações sobre políticas de segurança para nomes de domínio personalizados para APIs REST no API Gateway:

  • Você não pode habilitar o TLS mútuo em um nome de domínio que utilize uma política de segurança aprimorada.

  • Não é possível associar uma API HTTP a um nome de domínio que use uma política de segurança aprimorada.

  • Se você habilitar o mapeamento de caminho de base de vários níveis a uma API REST que utilize uma política de segurança aprimorada, não poderá criar um mapeamento de caminho de base para uma API HTTP com o mesmo nome de domínio.

  • Sua API pode ser associada a um nome de domínio personalizado com uma política de segurança diferente da política da sua API. Quando você invoca esse nome de domínio personalizado, o API Gateway utiliza a política de segurança da API para negociar o handshake TLS. Se você desabilitar seu endpoint de API padrão, isso poderá afetar como os chamadores podem invocar sua API.

  • O API Gateway aceita políticas de segurança em todas as APIs. No entanto, você só pode escolher uma política de segurança para as APIs REST. O API Gateway comporta apenas a política de segurança TLS_1_2 para APIs HTTP ou de WebSocket.

  • O API Gateway não comporta a atualização de uma política de segurança para um nome de domínio com vários tipos de endpoint. Caso você tenha vários tipos de endpoint para um nome de domínio, exclua um deles para atualizar a política de segurança.

Como o API Gateway aplica políticas de segurança

O exemplo a seguir mostra como o API Gateway aplica políticas de segurança utilizando a política SecurityPolicy_TLS13_1_3_2025_09 como exemplo.

A política de segurança SecurityPolicy_TLS13_1_3_2025_09 aceita tráfego TLS 1.3 e rejeita tráfego TLS 1.2 e TLS 1.0. Para o tráfego TLS 1.3, a política de segurança aceita os seguintes pacotes de criptografia:

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

O API Gateway não aceita nenhum outro pacote de criptografia. Por exemplo, a política de segurança rejeitaria qualquer tráfego TLS 1.3 que utilize o pacote de criptografia AES128-SHA.

Para monitorar quais protocolos TLS e criptografias os clientes usaram para acessar seu API Gateway, você pode usar as variáveis de contexto $context.tlsVersion e $context.cipherSuite em seus logs de acesso. Para obter mais informações, consulte Monitorar APIs REST no API Gateway.

Para ver as políticas de segurança padrão para todas as APIs REST e nomes de domínio personalizados, consulte Políticas de segurança padrão. Para ver as políticas de segurança aceitas para todas as APIs REST e nomes de domínio personalizados, consulte Políticas de segurança aceitas.

Alterar a política de segurança do seu nome de domínio personalizado

Se você alterar sua política de segurança, a atualização levará cerca de 15 minutos para ser concluída. É possível monitorar o lastUpdateStatus de seu nome de domínio personalizado. No decorrer da atualização do seu nome de domínio personalizado, o lastUpdateStatus será PENDING e, quando for concluído, será AVAILABLE.

Quando você usa uma política de segurança que comece com SecurityPolicy_, também deve ativar o modo de acesso ao endpoint. Para obter mais informações, consulte Modo de acesso ao endpoint.

Console de gerenciamento da AWS
Como alterar a política de segurança de um nome de domínio personalizado

  1. Faça login no console do API Gateway em https://console.aws.amazon.com/apigateway.

  2. Escolha um nome de domínio personalizado que envie tráfego para as APIs REST.

    Verifique se há apenas um tipo de endpoint associado ao seu nome de domínio personalizado.

  3. Escolha Configurações de nome de domínio personalizado e, depois, selecione Editar.

  4. Em Política de segurança, selecione uma nova política.

  5. Em Modo de acesso ao endpoint, escolha Restrito.

  6. Escolha Salvar alterações.

AWS CLI

O seguinte comando update-domain-name atualiza um nome de domínio para utilizar a política de segurança SecurityPolicy_TLS13_1_3_2025_09:

aws apigateway update-domain-name \
    --domain-name example.com \
    --patch-operations '[
        {
            "op": "replace",
            "path": "/securityPolicy",
            "value": "SecurityPolicy_TLS13_1_3_2025_09"
        }, 
        {
            "op": "replace",
            "path": "/endpointAccessMode",
            "value": "STRICT"
        }
    ]'

A saída será exibida da seguinte forma:

{
   "domainName": "example.com",
   "endpointConfiguration": { 
      "types": [ "REGIONAL" ], 
      "ipAddressType": "dualstack" 
   },
   "regionalCertificateArn": "arn:aws:acm:us-west-2:111122223333:certificate/a1b2c3d4-5678-90ab-cdef",
   "securityPolicy": "SecurityPolicy_TLS13_1_3_2025_09",
   "endpointAccessMode": "STRICT"
}

Informações sobre APIs HTTP e APIs de WebSocket

Para saber mais sobre APIs HTTP e APIs de WebSocket, consulte Política de segurança para APIs HTTP no API Gateway e Política de segurança para APIs de WebSocket no API Gateway.