如何更改安全策略
您可以更改 API 的安全策略。如果您通过自定义域名向 API 发送流量,API 和自定义域名无需具有相同的安全策略。当您调用该自定义域名时,API Gateway 会使用 API 的安全策略来协商 TLS 握手。但是,为了保持一致性,建议您对自定义域名和 API 使用相同的安全策略。
如果您更改安全策略,大约需要 15 分钟才能完成更新。您可以监控您的 API 的 apiStatus。当您的 API 更新时,apiStatus 为 UPDATING,更新完成后,它将变为 AVAILABLE。当您的 API 正在更新时,您仍然可以调用它。
- AWS 管理控制台
更改 API 的安全策略
通过以下网址登录到 Amazon API Gateway 控制台:https://console.aws.amazon.com/apigateway
。 选择一个 REST API。
选择 API 设置,然后选择编辑。
-
对于安全策略,选择一个以
SecurityPolicy_开头的新策略。 -
对于端点访问模式,请选择严格。
选择保存更改。
重新部署 API 以使更改生效。由于您已将端点访问模式更改为严格,因此大约需要 15 分钟,更改才能完全传播。
- AWS CLI
-
以下 update-rest-api 命令会将 API 更新为使用
SecurityPolicy_TLS13_1_3_2025_09安全策略:aws apigateway update-rest-api \ --rest-api-id abcd1234 \ --patch-operations '[ { "op": "replace", "path": "/securityPolicy", "value": "SecurityPolicy_TLS13_1_3_2025_09" }, { "op": "replace", "path": "/endpointAccessMode", "value": "STRICT" } ]'输出将与以下内容类似:
{ "id": "abcd1234", "name": "MyAPI", "description": "My API with a new security policy", "createdDate": "2025-02-04T11:47:06-08:00", "apiKeySource": "HEADER", "endpointConfiguration": { "types": [ "REGIONAL" ], "ipAddressType": "dualstack" }, "tags": {}, "disableExecuteApiEndpoint": false, "securityPolicy": "SecurityPolicy_TLS13_1_3_2025_09", "endpointAccessMode": "STRICT" "rootResourceId": "efg456" }以下 update-rest-api 命令会将使用增强型安全策略的 API 更新为使用
TLS_1_0安全策略。aws apigateway update-rest-api \ --rest-api-id abcd1234 \ --patch-operations '[ { "op": "replace", "path": "/securityPolicy", "value": "TLS_1_0" }, { "op": "replace", "path": "/endpointAccessMode", "value": "" } ]'输出将与以下内容类似:
{ "id": "abcd1234", "name": "MyAPI", "description": "My API with a new security policy", "createdDate": "2025-02-04T11:47:06-08:00", "apiKeySource": "HEADER", "endpointConfiguration": { "types": [ "REGIONAL" ], "ipAddressType": "dualstack" }, "tags": {}, "disableExecuteApiEndpoint": false, "securityPolicy": "TLS_1_0", "rootResourceId": "efg456" }
支持的安全策略
API Gateway 中 REST API 的 IP 地址类型