# Políticas de segurança aceitas
As tabelas a seguir descrevem as [políticas de segurança](apigateway-security-policies.md) que podem ser especificadas para cada tipo de endpoint de API REST e tipo de nome de domínio personalizado. Essas políticas permitem que você controle as conexões de entrada. O API Gateway aceita somente o TLS 1.2 na saída. Você pode atualizar a política de segurança da sua API ou nome de domínio personalizado a qualquer momento.
As políticas que contêm o `FIPS` no título são compatíveis com o Federal Information Processing Standard (FIPS), que é um padrão do governo dos EUA e do Canadá que especifica os requisitos de segurança para módulos criptográficos que protegem informações sensíveis. Para saber mais, consulte [Federal Information Processing Standard (FIPS) 140](https://aws.amazon.com/compliance/fips/) na página *AWS Cloud Security Compliance*.
Todas as políticas do FIPS utilizam o módulo criptográfico AWS-LC validado pelo FIPS. Para saber mais, consulte a página [AWS-LC Cryptographic Module](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4631) no site *NIST Cryptographic Module Validation Program*.
As políticas que contêm `PQ` no título utilizam [criptografia pós-quântica (PQC)](https://aws.amazon.com/security/post-quantum-cryptography/) para implementar algoritmos híbridos de troca de chaves para TLS a fim de garantir a confidencialidade do tráfego contra futuras ameaças de computação quântica.
As políticas que contêm `PFS` no título utilizam o [Perfect Forward Secrecy (PFS)](https://en.wikipedia.org/wiki/Forward_secrecy) para garantir que as chaves da sessão não sejam comprometidas.
As políticas que contêm `FIPS` e `PQ` em seus títulos comportam esses dois recursos.
## Políticas de segurança padrão
Quando você cria uma API REST ou domínio personalizado, o recurso recebe uma política de segurança padrão. A tabela a seguir mostra a política de segurança padrão para esses recursos.
| **Recurso** | **Nome da política de segurança padrão** |
| --- | --- |
| APIs regionais | TLS\_1\_0 |
| APIs otimizadas para bordas | TLS\_1\_0 |
| APIs privadas | TLS\_1\_2 |
| Domínios regionais | TLS\_1\_2 |
| Domínio otimizado para borda | TLS\_1\_2 |
| Domínio privado | TLS\_1\_2 |
## Políticas de segurança aceitas para APIs regionais e privadas e nomes de domínio personalizados
A tabela a seguir descreve as políticas de segurança que podem ser especificadas para nomes de domínio personalizados e APIs privadas e regionais.
| **Política de segurança** | **Versões aceitas do TLS** | **Criptografias compatíveis** |
| --- | --- | --- |
| SecurityPolicy\_TLS13\_1\_3\_2025\_09 | TLS1.3 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/apigateway/latest/developerguide/apigateway-security-policies-list.html) |
| SecurityPolicy\_TLS13\_1\_3\_FIPS\_2025\_09 | TLS1.3 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/apigateway/latest/developerguide/apigateway-security-policies-list.html) |
| SecurityPolicy\_TLS13\_1\_2\_FIPS\_PFS\_PQ\_2025\_09 | TLS1.3
TLS1.2 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/apigateway/latest/developerguide/apigateway-security-policies-list.html) [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/apigateway/latest/developerguide/apigateway-security-policies-list.html) |
| SecurityPolicy\_TLS13\_1\_2\_PFS\_PQ\_2025\_09 | TLS1.3
TLS1.2 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/apigateway/latest/developerguide/apigateway-security-policies-list.html) [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/apigateway/latest/developerguide/apigateway-security-policies-list.html) |
| SecurityPolicy\_TLS13\_1\_2\_PQ\_2025\_09 | TLS1.3
TLS1.2 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/apigateway/latest/developerguide/apigateway-security-policies-list.html) [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/apigateway/latest/developerguide/apigateway-security-policies-list.html) |
| SecurityPolicy\_TLS13\_1\_2\_2021\_06 | TLS1.3
TLS1.2 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/apigateway/latest/developerguide/apigateway-security-policies-list.html) [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/apigateway/latest/developerguide/apigateway-security-policies-list.html) |
| TLS\_1\_2 | TLS1.3
TLS1.2 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/apigateway/latest/developerguide/apigateway-security-policies-list.html) [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/apigateway/latest/developerguide/apigateway-security-policies-list.html) |
| TLS\_1\_0 | TLS1.3
TLS1.2
TLS1.1
TLS1.0 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/apigateway/latest/developerguide/apigateway-security-policies-list.html) [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/apigateway/latest/developerguide/apigateway-security-policies-list.html) |
## Políticas de segurança aceitas para APIs otimizadas para borda e nomes de domínio personalizados
A tabela a seguir descreve as políticas de segurança que podem ser especificadas para APIs e nomes de domínio personalizados otimizados para borda.
| **Nome da política de segurança** | **Versões aceitas do TLS** | **Criptografias compatíveis** |
| --- | --- | --- |
| SecurityPolicy\_TLS13\_2025\_EDGE | TLS1.3 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/apigateway/latest/developerguide/apigateway-security-policies-list.html) |
| SecurityPolicy\_TLS12\_PFS\_2025\_EDGE | TLS1.3
TLS1.2 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/apigateway/latest/developerguide/apigateway-security-policies-list.html) [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/apigateway/latest/developerguide/apigateway-security-policies-list.html) |
| SecurityPolicy\_TLS12\_2018\_EDGE | TLS1.3
TLS1.2 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/apigateway/latest/developerguide/apigateway-security-policies-list.html) [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/apigateway/latest/developerguide/apigateway-security-policies-list.html) |
| TLS\_1\_0 | TLS1.3
TLS1.2
TLS1.1
TLS1.0 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/apigateway/latest/developerguide/apigateway-security-policies-list.html) [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/apigateway/latest/developerguide/apigateway-security-policies-list.html) |
## Nomes das criptografias OpenSSL e RFC
OpenSSL e IETF RFC 5246 usam nomes diferentes para as mesmas cifras. A tabela a seguir mapeia o nome do OpenSSL para o nome do RFC para cada criptograma. Para ter mais informações, consulte [ciphers](https://docs.openssl.org/1.1.1/man1/ciphers/) na documentação do OpenSSL.
| **Nome da criptografia OpenSSL** | **Nome da criptografia RFC** |
| --- | --- |
| TLS\_AES\_128\_GCM\_SHA256 | TLS\_AES\_128\_GCM\_SHA256 |
| TLS\_AES\_256\_GCM\_SHA384 | TLS\_AES\_256\_GCM\_SHA384 |
| TLS\_CHACHA20\_POLY1305\_SHA256 | TLS\_CHACHA20\_POLY1305\_SHA256 |
| ECDHE-RSA-AES128-GCM-SHA256 | TLS\_ECDHE\_RSA\_WITH\_AES\_128\_GCM\_SHA256 |
| ECDHE-RSA-AES128-SHA256 | TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA256 |
| ECDHE-RSA-AES128-SHA | TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA |
| ECDHE-RSA-AES256-GCM-SHA384 | TLS\_ECDHE\_RSA\_WITH\_AES\_256\_GCM\_SHA384 |
| ECDHE-RSA-AES256-SHA384 | TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA384 |
| ECDHE-RSA-AES256-SHA | TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA |
| AES128-GCM-SHA256 | TLS\_RSA\_WITH\_AES\_128\_GCM\_SHA256 |
| AES256-GCM-SHA384 | TLS\_RSA\_WITH\_AES\_256\_GCM\_SHA384 |
| AES128-SHA256 | TLS\_RSA\_WITH\_AES\_128\_CBC\_SHA256 |
| AES256-SHA | TLS\_RSA\_WITH\_AES\_256\_CBC\_SHA |
| AES128-SHA | TLS\_RSA\_WITH\_AES\_128\_CBC\_SHA |
| DES-CBC3-SHA | TLS\_RSA\_WITH\_3DES\_EDE\_CBC\_SHA |