支持的安全策略 - Amazon API Gateway
默认安全策略区域和私有 API 以及自定义域名支持的安全策略边缘优化型 API 和自定义域名支持的安全策略OpenSSL 和 RFC 密码名称

支持的安全策略

下表介绍了可为每种 REST API 端点类型和自定义域名类型指定的安全策略。这些策略允许您控制传入连接。API Gateway 仅支持对出站流量使用 TLS 1.2。您可以随时更新 API 或自定义域名的安全策略。

标题中包含 FIPS 的策略符合联邦信息处理标准(FIPS),该标准是美国和加拿大政府标准,规定了对保护敏感信息的加密模块的安全要求。要了解更多信息,请参阅 AWS Cloud 安全性合规性页面上的美国联邦信息处理标准(FIPS)140

所有 FIPS 策略均利用 AWS-LC FIPS 验证的加密模块。要了解更多信息,请参阅 NIST Cryptographic Module Validation Program 网站上的 AWS-LC Cryptographic Module 页面。

标题中包含 PQ 的策略使用后量子密码术(PQC)来实现 TLS 的混合密钥交换算法,以保障流量机密性,抵御未来量子计算带来的安全威胁。

标题中包含 PFS 的策略使用完全正向保密(PFS)来确保会话密钥不会泄露。

标题中同时包含 FIPSPQ 的策略将支持这两项功能。

默认安全策略

当您创建新的 REST API 或自定义域时,系统会为该资源分配默认安全策略。下表显示这些资源的默认安全策略。

资源

默认安全策略名称
区域 API TLS_1_0
边缘优化的 API TLS_1_0
私有 API TLS_1_2
区域域 TLS_1_2
边缘优化型域名 TLS_1_2
私有域 TLS_1_2

区域和私有 API 以及自定义域名支持的安全策略

下表介绍了可为区域和私有 API 以及自定义域名指定的安全策略:

安全策略

支持的 TLS 版本

支持的密码
SecurityPolicy_TLS13_1_3_2025_09 TLS1.3
TLS1.3

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256
SecurityPolicy_TLS13_1_3_FIPS_2025_09 TLS1.3
TLS1.3

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384
SecurityPolicy_TLS13_1_2_PFS_PQ_2025_09

TLS1.3

TLS1.2
TLS1.3

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

TLS1.2

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • ECDHE-ECDSA-AES128- GCM-SHA256

  • ECDHE-RSA-AES128- GCM-SHA256

  • ECDHE-ECDSA-AES256- GCM-SHA384

  • ECDHE-RSA-AES256- GCM-SHA384
SecurityPolicy_TLS13_1_2_PQ_2025_09

TLS1.3

TLS1.2
TLS1.3

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

TLS1.2

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • ECDHE-ECDSA-AES128- GCM-SHA256

  • ECDHE-RSA-AES128- GCM-SHA256

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-ECDSA-AES256- GCM-SHA384

  • ECDHE-RSA-AES256- GCM-SHA384

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA384

  • AES128-GCM-SHA256

  • AES128-SHA256

  • AES256-GCM-SHA384

  • AES256-SHA256
TLS_1_2

TLS1.3

TLS1.2
TLS1.3

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

TLS1.2

  • ECDHE-ECDSA-AES128- GCM-SHA256

  • ECDHE-RSA-AES128- GCM-SHA256

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-ECDSA-AES256- GCM-SHA384

  • ECDHE-RSA-AES256- GCM-SHA384

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA384

  • AES128-GCM-SHA256

  • AES128-SHA256

  • AES256-GCM-SHA384

  • AES256-SHA256
TLS_1_0

TLS1.3

TLS1.2

TLS1.1

TLS1.0
TLS1.3

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

TLS1.0-TLS1.2

  • ECDHE-ECDSA-AES128- GCM-SHA256

  • ECDHE-RSA-AES128- GCM-SHA256

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-ECDSA-AES256- GCM-SHA384

  • ECDHE-RSA-AES256- GCM-SHA384

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA384

  • ECDHE-ECDSA-AES256-SHA

  • ECDHE-RSA-AES256-SHA

  • AES128-GCM-SHA256

  • AES128-SHA256

  • AES128-SHA

  • AES256-GCM-SHA384

  • AES256-SHA256

  • AES256-SHA

边缘优化型 API 和自定义域名支持的安全策略

下表介绍了可为边缘优化型 API 和边缘优化型自定义域名指定的安全策略:

安全策略名称

支持的 TLS 版本

支持的密码
SecurityPolicy_TLS13_2025_EDGE TLS1.3
TLS1.3

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256
SecurityPolicy_TLS12_PFS_2025_EDGE

TLS1.3

TLS1.2
TLS1.3

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

TLS1.2

  • ECDHE-ECDSA-AES128- GCM-SHA256

  • ECDHE-ECDSA-AES256- GCM-SHA384

  • ECDHE-ECDSA-CHACHA20-POLY1305

  • ECDHE-RSA-AES128- GCM-SHA256

  • ECDHE-RSA-AES256- GCM-SHA384

  • ECDHE-RSA-CHACHA20-POLY1305
SecurityPolicy_TLS12_2018_EDGE

TLS1.3

TLS1.2
TLS1.3

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

TLS1.2

  • ECDHE-ECDSA-AES128- GCM-SHA256

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-ECDSA-AES256- GCM-SHA384

  • ECDHE-ECDSA-CHACHA20-POLY1305

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES128- GCM-SHA256

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-RSA-AES256- GCM-SHA384

  • ECDHE-RSA-CHACHA20-POLY1305

  • ECDHE-RSA-AES256-SHA384
TLS_1_0

TLS1.3

TLS1.2

TLS1.1

TLS1.0
TLS1.3

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

TLS1.0-TLS1.2

  • ECDHE-ECDSA-AES128- GCM-SHA256

  • ECDHE-RSA-AES128- GCM-SHA256

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-ECDSA-AES256- GCM-SHA384

  • ECDHE-RSA-AES256- GCM-SHA384

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA384

  • ECDHE-ECDSA-AES256-SHA

  • ECDHE-RSA-AES256-SHA

  • AES256-SHA256

  • AES256-SHA

OpenSSL 和 RFC 密码名称

OpenSSL 和 IETF RFC 5246 为相同的密码使用不同的名称。下表为每个密码列出了 OpenSSL 名称及对应的 RFC 名称。有关更多信息,请参阅 OpenSSL 文档中的 ciphers

OpenSSL 密码名称

RFC 密码名称

TLS_AES_128_GCM_SHA256

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS_CHACHA20_POLY1305_SHA256

ECDHE-RSA-AES128- GCM-SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

ECDHE-RSA-AES128-SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

ECDHE-RSA-AES128-SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

ECDHE-RSA-AES256- GCM-SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

ECDHE-RSA-AES256-SHA384

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

ECDHE-RSA-AES256-SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

AES128-GCM-SHA256

TLS_RSA_WITH_AES_128_GCM_SHA256

AES256-GCM-SHA384

TLS_RSA_WITH_AES_256_GCM_SHA384

AES128-SHA256

TLS_RSA_WITH_AES_128_CBC_SHA256

AES256-SHA

TLS_RSA_WITH_AES_256_CBC_SHA

AES128-SHA

TLS_RSA_WITH_AES_128_CBC_SHA

DES-CBC3-SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA