# Amazon API Gateway 中的安全性
AWS 十分重视云安全性。作为 AWS 客户,您将从专为满足大多数安全敏感型企业的要求而打造的数据中心和网络架构中受益。
安全性是 AWS 和您的共同责任。[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)将其描述为云*的*安全性和云*中*的安全性:
+ **云安全性**:AWS 负责保护在 AWS 云中运行 AWS 服务的基础结构。AWS 还向您提供可安全使用的服务。第三方审核员定期测试和验证我们的安全性的有效性,作为 [AWS Compliance Programs](https://aws.amazon.com/compliance/programs/) 的一部分。要了解适用于 Amazon API Gateway 的合规性计划,请参阅[合规性计划范围内的 AWS 服务](https://aws.amazon.com/compliance/services-in-scope/)。
+ **云中的安全性**:您的责任由您使用的 AWS 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。
此文档将帮助您了解如何在使用 API Gateway 时应用责任共担模式。以下主题说明如何配置 API Gateway 以实现您的安全性和合规性目标。您还会了解如何使用其它 AWS 服务来协助您监控和保护 API Gateway 资源。
有关更多信息,请参阅 [Amazon API Gateway 安全概述](https://d1.awsstatic.com/whitepapers/api-gateway-security.pdf)。
**Topics**
+ [Amazon API Gateway 中的数据保护](data-protection.md)
+ [适用于 Amazon API Gateway 的 Identity and Access Management](security-iam.md)
+ [Amazon API Gateway 中的日志记录和监控](security-monitoring.md)
+ [Amazon API Gateway 的合规性验证](apigateway-compliance.md)
+ [Amazon API Gateway 中的弹性](disaster-recovery-resiliency.md)
+ [Amazon API Gateway 中的基础设施安全](infrastructure-security.md)
+ [Amazon API Gateway 中的漏洞分析](vulnerability-analysis.md)
+ [Amazon API Gateway 中的安全最佳实践](security-best-practices.md)
# Amazon API Gateway 中的数据保护
AWS[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)适用于 Amazon API Gateway 中的数据保护。如该模式中所述,AWS 负责保护运行所有 AWS 云 的全球基础架构。您负责维护对托管在此基础架构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq/)。有关欧洲数据保护的信息,请参阅 *AWS Security Blog* 上的 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
出于数据保护目的,我们建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management(IAM)设置单个用户。这样,每个用户只获得履行其工作职责所需的权限。我们还建议您通过以下方式保护数据:
+ 对每个账户使用多重身份验证(MFA)。
+ 使用 SSL/TLS 与 AWS 资源进行通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 使用 AWS CloudTrail 设置 API 和用户活动日记账记录。有关使用 CloudTrail 跟踪来捕获 AWS 活动的信息,请参阅《AWS CloudTrail 用户指南》**中的 [Working with CloudTrail trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解决方案以及 AWS 服务 中的所有默认安全控制。
+ 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果在通过命令行界面或 API 访问 AWS 时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅[美国联邦信息处理标准(FIPS)140-3](https://aws.amazon.com/compliance/fips/)。
我们强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如**名称**字段)。这包括使用控制台、API、AWS CLI 或 AWS SDK 处理 API Gateway 或其他 AWS 服务 时。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供网址,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
# Amazon API Gateway 中的数据加密
数据保护是指,在数据传输(传入和传出 API Gateway 时)和处于静态(存储在 中时)期间保护数据AWS
## Amazon API Gateway 中的静态数据加密
如果选择为 REST API 启用缓存,则可以启用缓存加密。要了解更多信息,请参阅“[API Gateway 中针对 REST API 的缓存设置](api-gateway-caching.md)”。
有关数据保护的更多信息,请参阅*AWS安全性博客*上的[AWS责任共担模式和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
### 证书私有密钥的加密和解密
当您为私有 API 创建自定义域名后,系统会使用别名为 **aws/acm** 的 AWS 托管式 KMS 密钥,对您的 ACM 证书和私有密钥进行加密。您可以在 AWS KMS 控制台的 **AWS 托管式密钥**下,查看具有此别名的密钥 ID。
API Gateway 不会直接访问您的 ACM 资源,而是使用 AWS TLS Connection Manager 保护及访问证书的私有密钥。如果您使用 ACM 证书为私有 API 创建 API Gateway 自定义域名,API Gateway 会将您的证书与 AWS TLS Connection Manager 关联。方法为在 AWS KMS 中针对前缀为 **aws/acm** 的 AWS 托管密钥创建授权。授权是一种策略工具,允许 TLS Connection Manager 在加密操作中使用 KMS 密钥。授权允许被授权主体(TLS Connection Manager)对 KMS 密钥调用指定授权操作,以解密证书的私有密钥。然后,TLS Connection Manager 使用证书和解密(明文)的私有密钥,与 API Gateway 服务的客户端建立安全连接(SSL/TLS 会话)。当证书与私有 API 的 API Gateway 自定义域名取消关联时,该授权就会停用。
如果要删除对 KMS 密钥的访问,建议使用 AWS 管理控制台或 AWS CLI 中的 `update-service` 命令,从服务中替换或删除证书。
### API Gateway 的加密上下文
[加密上下文](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html)是一组可选的键值对,其中包含有关私有密钥用途的上下文信息。AWS KMS 将加密上下文绑定到加密数据,并将其用作附加验证数据,以支持经过身份验证的加密。
当您的 TLS 密钥与 API Gateway 和 TLS Connection Manager 一起使用时,API Gateway 服务的名称将包含在用于静态加密密钥的加密上下文中。您可以通过查看 CloudTrail 日志中的加密上下文(如下一节所示),或者查看 ACM 控制台中的**关联资源**选项卡,验证您的证书和私有密钥用于哪个 API Gateway 自定义域名。
要解密数据,在请求中包含相同的加密上下文。API Gateway 在所有 AWS 加密操作中使用同一个加密上下文,其中密钥为 `aws:apigateway:arn`,值为 API Gateway `PrivateDomainName` 资源的 Amazon 资源名称(ARN)。
下面的示例显示操作输出中的加密上下文,例如 `CreateGrant`:
```
"constraints": {
"encryptionContextEquals": {
"aws:acm:arn": "arn:aws:acm:us-west-2:859412291086:certificate/9177097a-f0ae-4be1-93b1-19f911ea4f88",
"aws:apigateway:arn": "arn:aws:apigateway:us-west-2:859412291086:/domainnames/denytest-part1.pdx.sahig.people.aws.dev+cbaeumzjhg"
}
},
"operations": [
"Decrypt"
],
"granteePrincipal": "tlsconnectionmanager.amazonaws.com"
```
## Amazon API Gateway 中的传输中数据加密
通过 Amazon API Gateway 创建的 API 只公开 HTTPS 端点。API Gateway 不支持未加密的(HTTP)端点。
API Gateway 管理原定设置 `execute-api` 端点的证书。如果您配置自定义域名,[请为该域名指定证书](how-to-custom-domains.md#custom-domain-names-certificates)。作为最佳实践,请勿[固定证书](https://docs.aws.amazon.com/acm/latest/userguide/troubleshooting-pinning.html)。
为了获得更高的安全性,您可以选择要为您的 API Gateway 自定义域实施的最低传输层安全性 (TLS) 协议版本。WebSocket API 和 HTTP API 仅支持 TLS 1.2。要了解更多信息,请参阅“[选择针对 API Gateway 中自定义域的安全策略](apigateway-custom-domain-tls-version.md)”。
您还可以在账户中使用自定义 SSL 证书设置 Amazon CloudFront 分配,并将其用于区域 API。然后,您可以根据您的安全性和合规性要求,为具有 TLS 1.1 或更高版本的 CloudFront 分配配置安全策略。
有关数据保护的更多信息,请参阅 [保护 API Gateway 中的 REST API](rest-api-protect.md) 以及*AWS安全性博客*上的[AWS责任共担模式和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
# 互联网络流量隐私保护
使用 Amazon API Gateway,您可以创建只能从您的 Amazon Virtual Private Cloud (VPC) 访问的私有 REST API。VPC 使用[接口 VPC 终端节点](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html),该终端节点是您在 VPC 中创建的终端节点网络接口。通过使用[资源策略](apigateway-private-api-create.md#apigateway-private-api-set-up-resource-policy),您可以允许或拒绝从选定的 VPC 和 VPC 终端节点(包括跨 AWS 账户)对您的 API 进行访问。每个端点都可用于访问多个私有 API。您还可以使用 Direct Connect 建立从本地网络到 Amazon VPC 的连接,并在该连接上访问您的私有 API。在所有情况下,您的私有 API 的流量使用安全的连接,不会离开 Amazon 网络;它与公有 Internet 隔离开来。要了解更多信息,请参阅“[API Gateway 中的私有 REST API](apigateway-private-apis.md)”。
# 适用于 Amazon API Gateway 的 Identity and Access Management
AWS Identity and Access Management(IAM)是一项,AWS 服务可以帮助管理员安全地控制对 AWS 资源的访问。IAM 管理员控制谁可以*通过身份验证*(登录)和*授权*(具有权限)以使用 API Gateway 资源。IAM 是一项无需额外费用即可使用的 AWS 服务。
**Topics**
+ [受众](#security_iam_audience)
+ [使用身份进行身份验证](#security_iam_authentication)
+ [使用策略管理访问](#security_iam_access-manage)
+ [Amazon API Gateway 如何与 IAM 配合使用](security_iam_service-with-iam.md)
+ [Amazon API Gateway 基于身份的策略示例](security_iam_id-based-policy-examples.md)
+ [Amazon API Gateway 基于资源的策略示例](security_iam_resource-based-policy-examples.md)
+ [Amazon API Gateway 身份和访问疑难解答](security_iam_troubleshoot.md)
+ [使用 API Gateway 的服务相关角色](using-service-linked-roles.md)
## 受众
您使用 AWS Identity and Access Management(IAM)的方式因您的角色而异:
+ **服务用户**:如果您无法访问功能,请从管理员处请求权限(请参阅[Amazon API Gateway 身份和访问疑难解答](security_iam_troubleshoot.md))
+ **服务管理员**:确定用户访问权限并提交权限请求(请参阅[Amazon API Gateway 如何与 IAM 配合使用](security_iam_service-with-iam.md))
+ **IAM 管理员**:编写用于管理访问权限的策略(请参阅[Amazon API Gateway 基于身份的策略示例](security_iam_id-based-policy-examples.md))
## 使用身份进行身份验证
身份验证是您使用身份凭证登录 AWS 的方法。您必须作为 AWS 账户根用户、IAM 用户或通过担任 IAM 角色进行身份验证。
您可以使用来自 AWS IAM Identity Center(IAM Identity Center)等身份源的凭证、单点登录身份验证或 Google/Facebook 凭证,以联合身份进行登录。有关登录的更多信息,请参阅《AWS 登录 用户指南》**中的[如何登录您的 AWS 账户](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
对于编程访问,AWS 提供了 SDK 和 CLI 来对请求进行加密签名。有关更多信息,请参阅*《IAM 用户指南》*中的[适用于 API 请求的 AWS 签名版本 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
### AWS 账户 根用户
当您创建 AWS 账户 时,最初使用的是一个对所有 AWS 服务和资源拥有完全访问权限的登录身份(称为 AWS 账户*根用户*)。我们强烈建议不要使用根用户进行日常任务。有关要求根用户凭证的任务,请参阅*《IAM 用户指南》*中的[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### IAM 用户和群组
*[IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*是对某个人员或应用程序具有特定权限的一个身份。建议使用临时凭证,而非具有长期凭证的 IAM 用户。有关更多信息,请参阅*《IAM 用户指南》*中的[要求人类用户使用带有身份提供商的联合身份验证才能使用临时凭证访问 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)指定一组 IAM 用户,便于更轻松地对大量用户进行权限管理。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM 用户使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*是具有特定权限的身份,可提供临时凭证。您可以通过[从用户切换到 IAM 角色(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或调用 AWS CLI 或 AWS API 操作来担任角色。有关更多信息,请参阅《IAM 用户指南》**中的[担任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色对于联合用户访问、临时 IAM 用户权限、跨账户访问、跨服务访问以及在 Amazon EC2 上运行的应用程序非常有用。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 使用策略管理访问
您将创建策略并将其附加到 AWS 身份或资源,以控制 AWS 中的访问。策略在与身份或资源关联时定义权限。当主体发出请求时,AWS 会评估这些策略。大多数策略在 AWS 中存储为 JSON 文档。有关 JSON 策略文档的更多信息,请参阅*《IAM 用户指南》*中的 [JSON 策略概述](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理员使用策略,通过定义哪个**主体**可以在什么**条件**下对哪些**资源**执行哪些**操作**来指定谁有权访问什么。
默认情况下,用户和角色没有权限。IAM 管理员创建 IAM 策略并将其添加到角色中,然后用户可以担任这些角色。IAM 策略定义权限,与执行操作所用的方法无关。
### 基于身份的策略
基于身份的策略是您附加到身份(用户、组或角色)的 JSON 权限策略文档。这些策略控制身份可以执行什么操作、对哪些资源执行以及在什么条件下执行。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
基于身份的策略可以是*内联策略*(直接嵌入到单个身份中)或*托管策略*(附加到多个身份的独立策略)。要了解如何在托管策略和内联策略之间进行选择,请参阅*《IAM 用户指南》*中的[在托管策略与内联策略之间进行选择](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。
### 基于资源的策略
基于资源的策略是附加到资源的 JSON 策略文档。示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
基于资源的策略是位于该服务中的内联策略。您不能在基于资源的策略中使用来自 IAM 的 AWS 托管式策略。
### 访问控制列表(ACL)
访问控制列表(ACL)控制哪些主体(账户成员、用户或角色)有权访问资源。ACL 与基于资源的策略类似,尽管它们不使用 JSON 策略文档格式。
Amazon S3、AWS WAF 和 Amazon VPC 是支持 ACL 的服务示例。要了解有关 ACL 的更多信息,请参阅《Amazon Simple Storage Service 开发人员指南》**中的[访问控制列表(ACL)概览](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)。
### 其他策略类型
AWS 支持额外的策略类型,这些策略类型可以设置由更常用的策略类型授予的最大权限:
+ **权限边界** – 设置基于身份的策略可以授予 IAM 实体的最大权限。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 实体的权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服务控制策略(SCP)**– 指定 AWS Organizations 中组织或组织单元的最大权限。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **资源控制策略(RCP)**– 设置对账户中资源的最大可用权限。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[资源控制策略(RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **会话策略** – 在为角色或联合用户创建临时会话时,作为参数传递的高级策略。有关更多信息,请参阅《IAM 用户指南》**中的[会话策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多个策略类型
当多个类型的策略应用于一个请求时,生成的权限更加复杂和难以理解。要了解AWS如何确定在涉及多种策略类型时是否允许请求,请参阅 *IAM 用户指南*中的[策略评估逻辑](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# Amazon API Gateway 如何与 IAM 配合使用
在使用 IAM 管理对 API Gateway 的访问权限之前,您应该了解哪些 IAM 功能可用于 API Gateway。要大致了解 API Gateway 和其他AWS服务如何与 IAM 一起使用,请参阅 *IAM 用户指南*中的[与 IAM 一起使用的AWS服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
**Topics**
+ [API Gateway 基于身份的策略](#security_iam_service-with-iam-id-based-policies)
+ [API Gateway 基于资源的策略](#security_iam_service-with-iam-resource-based-policies)
+ [基于 API Gateway 标签的授权](#security_iam_service-with-iam-tags)
+ [API Gateway IAM 角色](#security_iam_service-with-iam-roles)
## API Gateway 基于身份的策略
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。API Gateway 支持特定的操作、资源和条件键。有关 API Gateway 特定的操作、资源和条件键的更多信息,请参阅 [Amazon API Gateway Management 的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonapigatewaymanagement.html)和 [Amazon API Gateway Management V2 的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonapigatewaymanagementv2.html)。如需在 JSON 策略中使用的所有元素,请参阅 *IAM 用户指南*中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
以下示例显示了一个基于身份的策略,该策略允许用户仅创建或更新私有 REST API。有关更多示例,请参阅 [Amazon API Gateway 基于身份的策略示例](security_iam_id-based-policy-examples.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ScopeToPrivateApis",
"Effect": "Allow",
"Action": [
"apigateway:PATCH",
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/restapis",
"arn:aws:apigateway:us-east-1::/restapis/??????????"
],
"Condition": {
"ForAllValues:StringEqualsIfExists": {
"apigateway:Request/EndpointType": "PRIVATE",
"apigateway:Resource/EndpointType": "PRIVATE"
}
}
},
{
"Sid": "AllowResourcePolicyUpdates",
"Effect": "Allow",
"Action": [
"apigateway:UpdateRestApiPolicy"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/restapis/*"
]
}
]
}
```
------
### 操作
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。
API Gateway 中的策略操作在操作前面使用以下前缀:`apigateway:`。策略语句必须包含 `Action` 或 `NotAction` 元素。API Gateway 定义了一组自己的操作,以描述您可以使用该服务执行的任务。
API 管理的 `Action` 表达式的格式为 `apigateway:action`,其中 *action* 是以下 API Gateway 操作之一:**GET**、**POST**、**PUT**、**DELETE**、**PATCH**(用于更新资源)或 **\$1**(即前面的所有操作)。
`Action` 表达式的一些示例包括:
+ **apigateway:\$1**,表示所有 API Gateway 操作。
+ **apigateway:GET**,仅表示 API Gateway 中的 GET 操作。
要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:
```
"Action": [
"apigateway:action1",
"apigateway:action2"
```
有关用于特定 API Gateway 操作的 HTTP 动词的信息,请参阅 [Amazon API Gateway 第 1 版 API 参考](https://docs.aws.amazon.com/apigateway/api-reference/) (REST API) 和 [ Amazon API Gateway 第 2 版 API 参考](https://docs.aws.amazon.com/apigatewayv2/latest/api-reference/api-reference.html)(WebSocket 和 HTTP API)。
有关更多信息,请参阅 [Amazon API Gateway 基于身份的策略示例](security_iam_id-based-policy-examples.md)。
### 资源
管理员可以使用 AWS JSON 策略来指定谁有权访问什么内容。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符(\$1)来指示此语句应用于所有资源。
```
"Resource": "*"
```
API Gateway 资源具有以下 ARN 格式:
```
arn:aws:apigateway:region::resource-path-specifier
```
例如,要指定带有 id *`api-id`* 及其子资源的 REST API(例如语句中的授权方),请使用以下 ARN:
```
"Resource": "arn:aws:apigateway:us-east-2::/restapis/api-id/*"
```
要指定属于特定账户的所有 REST API 和子资源,请使用通配符 (\$1):
```
"Resource": "arn:aws:apigateway:us-east-2::/restapis/*"
```
有关 API Gateway 资源类型及其 ARN 的列表,请参阅 [API Gateway Amazon 资源名称 (ARN) 参考](arn-format-reference.md)。
### 条件键
管理员可以使用 AWS JSON 策略来指定谁有权访问什么内容。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅《IAM 用户指南》**中的 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
API Gateway 定义了自己的一组条件键,还支持使用一些全局条件键。有关 API Gateway 条件键的列表,请参阅 *IAM 用户指南*中的 [Amazon API Gateway 的条件键](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_manageamazonapigateway.html#manageamazonapigateway-policy-keys)。有关您可以将哪些操作和资源与条件键结合使用,请参阅 [Amazon API Gateway 定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_manageamazonapigateway.html#amazonapigateway-actions-as-permissions)。
有关标记(包括基于属性的访问控制)的信息,请参阅 [为 API Gateway 资源添加标签](apigateway-tagging.md)。
### 示例
有关 API Gateway 基于身份的策略示例,请参阅 [Amazon API Gateway 基于身份的策略示例](security_iam_id-based-policy-examples.md)。
## API Gateway 基于资源的策略
基于资源的策略是 JSON 策略文档,它们指定了指定的委托人可在 API Gateway 资源上执行的操作以及在什么条件下可执行。API Gateway 对于 REST API 支持基于资源的权限策略。您可以使用资源策略来控制谁可以调用 REST API。有关更多信息,请参阅 [使用 API Gateway 资源策略控制对 API 的访问](apigateway-resource-policies.md)。
### 示例
有关基于 API Gateway 资源的策略示例,请参阅 [API Gateway 资源策略示例](apigateway-resource-policies-examples.md)。
## 基于 API Gateway 标签的授权
您可以将标签附加到 API Gateway 资源或将请求中的标签传递给 API Gateway。要基于标签控制访问,您需要使用 `apigateway:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。有关标记 API Gateway 资源的更多信息,请参阅 [使用标签控制对 API Gateway REST API 资源的访问](apigateway-tagging-iam-policy.md)。
有关基于身份的策略(用于根据资源上的标签来限制对该资源的访问)的示例,请参阅 [使用标签控制对 API Gateway REST API 资源的访问](apigateway-tagging-iam-policy.md)。
## API Gateway IAM 角色
[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是 AWS 账户中具有特定权限的实体。
### 将临时凭证用于 API Gateway
您可以使用临时凭证进行联合身份登录,担任 IAM 角色或担任跨账户角色。您可以通过调用 AWS STS API 操作(如 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 或 [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html))获得临时安全凭证。
API Gateway 支持使用临时凭证。
### 服务相关角色
[服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)允许 AWS 服务访问其他服务中的资源以代表您完成操作。服务关联角色显示在 IAM 账户中,并归该服务所有。IAM 管理员可以查看但不能编辑服务相关角色的权限。
API Gateway 支持服务相关角色。有关创建或管理 API Gateway 服务相关角色的信息,请参阅 [使用 API Gateway 的服务相关角色](using-service-linked-roles.md)。
### 服务角色
服务可以代表您代入[服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此服务角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在您的 IAM 账户中并由该账户拥有,因此管理员可以更改此角色的权限。但是,这样做可能会中断服务的功能。
API Gateway 支持服务角色。
# Amazon API Gateway 基于身份的策略示例
默认情况下,IAM 用户和角色无权创建或修改 API Gateway 资源。它们还无法使用AWS 管理控制台、AWS CLI 或者AWS开发工具包执行任务。IAM 管理员必须创建 IAM 策略,以便为用户和角色授予权限以对所需的指定资源执行特定的 API 操作。然后,管理员必须将这些策略附加到需要这些权限的 IAM 用户或组。
有关如何创建 IAM 策略的信息,请参阅 *IAM 用户指南*中的[在 JSON 选项卡上创建策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)。有关 API Gateway 特定的操作、资源和条件的信息,请参阅 [Amazon API Gateway Management 的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonapigatewaymanagement.html)和 [Amazon API Gateway Management V2 的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonapigatewaymanagementv2.html)。
**Topics**
+ [策略最佳实践](#security_iam_service-with-iam-policy-best-practices)
+ [允许用户查看他们自己的权限](#security_iam_id-based-policy-examples-view-own-permissions)
+ [简单读取许可](#api-gateway-policy-example-apigateway-general)
+ [仅创建 REQUEST 或 JWT 授权方](#security_iam_id-based-policy-examples-v2-import)
+ [要求禁用默认 `execute-api` 终端节点](#security_iam_id-based-policy-examples-v2-endpoint-status)
+ [只允许用户创建或更新私有 REST API](#security_iam_id-based-policy-examples-private-api)
+ [要求 API 路由具有授权](#security_iam_id-based-policy-examples-require-authorization)
+ [防止用户创建或更新 VPC 链接](#security_iam_id-based-policy-examples-deny-vpc-link)
+ [使用路由规则的策略示例](#security_iam_id-based-policy-examples-routing-mode)
## 策略最佳实践
基于身份的策略确定某个人是否可以创建、访问或删除您账户中的 API Gateway 资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
+ **AWS 托管式策略及转向最低权限许可入门**:要开始向用户和工作负载授予权限,请使用 *AWS 托管式策略*来为许多常见使用场景授予权限。您可以在 AWS 账户 中找到这些策略。建议通过定义特定于您的使用场景的 AWS 客户托管式策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的 AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果通过特定 AWS 服务(例如 CloudFormation)使用服务操作,您还可以使用条件来授予对服务操作的访问权限。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重身份验证(MFA)**:如果您所处的场景要求您的 AWS 账户 中有 IAM 用户或根用户,请启用 MFA 来提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 允许用户查看他们自己的权限
该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上完成此操作或者以编程方式使用 AWS CLI 或 AWS API 所需的权限。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 简单读取许可
此示例策略授予用户在 us-east-1 的AWS区域中获取有关标识符为 `a123456789` 的 HTTP 或 WebSocket API 的所有资源的信息的权限。资源 `arn:aws:apigateway:us-east-1::/apis/a123456789/*` 包括 API 的所有子资源,例如授权方和部署。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"apigateway:GET"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/apis/a123456789/*"
]
}
]
}
```
------
## 仅创建 REQUEST 或 JWT 授权方
此示例策略允许用户仅使用 `REQUEST` 或 `JWT` 授权方创建 API,包括通过[导入](https://docs.aws.amazon.com/apigatewayv2/latest/api-reference/apis.html#ImportApi)进行操作。在策略的 `Resource` 部分中,`arn:aws:apigateway:us-east-1::/apis/??????????` 要求资源最多具有 10 个字符,这不包括 API 的子资源。此示例在 `ForAllValues` 部分中使用 `Condition`,因为用户可以通过导入 API 同时创建多个授权方。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "OnlyAllowSomeAuthorizerTypes",
"Effect": "Allow",
"Action": [
"apigateway:PUT",
"apigateway:POST",
"apigateway:PATCH"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/apis",
"arn:aws:apigateway:us-east-1::/apis/??????????",
"arn:aws:apigateway:us-east-1::/apis/*/authorizers",
"arn:aws:apigateway:us-east-1::/apis/*/authorizers/*"
],
"Condition": {
"ForAllValues:StringEqualsIfExists": {
"apigateway:Request/AuthorizerType": [
"REQUEST",
"JWT"
]
}
}
}
]
}
```
------
## 要求禁用默认 `execute-api` 终端节点
此示例策略允许用户在 `DisableExecuteApiEndpoint` 为 `true` 的前提下创建、更新或导入 API。当 `DisableExecuteApiEndpoint` 为 `true` 时,客户端无法使用默认 `execute-api` 终端节点来调用 API。
我们使用 `BoolIfExists` 条件来处理调用,以更新未填充 `DisableExecuteApiEndpoint` 条件键的 API。当用户尝试创建或导入 API 时,`DisableExecuteApiEndpoint` 条件键始终填充。
由于 `apis/*` 资源还捕获授权方或方法等子资源,因此我们明确地将其范围限定为带有 `Deny` 语句的 API。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DisableExecuteApiEndpoint",
"Effect": "Allow",
"Action": [
"apigateway:PATCH",
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/apis",
"arn:aws:apigateway:us-east-1::/apis/*"
],
"Condition": {
"BoolIfExists": {
"apigateway:Request/DisableExecuteApiEndpoint": true
}
}
},
{
"Sid": "ScopeDownToJustApis",
"Effect": "Deny",
"Action": [
"apigateway:PATCH",
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/apis/*/*"
]
}
]
}
```
------
## 只允许用户创建或更新私有 REST API
此示例策略使用条件键来要求用户只创建 `PRIVATE` API,并防止可能将 API 从 `PRIVATE` 更改为其他类型(如 `REGIONAL`)的更新。
我们使用 `ForAllValues` 要求每个添加到 API 的 `EndpointType` 必须为 `PRIVATE`。我们使用资源条件键来允许对 API 进行任何更新,只要它是 `PRIVATE` 即可。`ForAllValues` 仅适用于存在条件键的情况。
我们使用非贪婪匹配器 (`?`) 来显式匹配 API ID,以防止允许授权方等非 API 资源。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ScopePutToPrivateApis",
"Effect": "Allow",
"Action": [
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/restapis",
"arn:aws:apigateway:us-east-1::/restapis/??????????"
],
"Condition": {
"ForAllValues:StringEquals": {
"apigateway:Resource/EndpointType": "PRIVATE"
}
}
},
{
"Sid": "ScopeToPrivateApis",
"Effect": "Allow",
"Action": [
"apigateway:DELETE",
"apigateway:PATCH",
"apigateway:POST"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/restapis",
"arn:aws:apigateway:us-east-1::/restapis/??????????"
],
"Condition": {
"ForAllValues:StringEquals": {
"apigateway:Request/EndpointType": "PRIVATE",
"apigateway:Resource/EndpointType": "PRIVATE"
}
}
},
{
"Sid": "AllowResourcePolicyUpdates",
"Effect": "Allow",
"Action": [
"apigateway:UpdateRestApiPolicy"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/restapis/*"
]
}
]
}
```
------
## 要求 API 路由具有授权
如果路由没有授权,此策略会导致创建或更新路由(包括通过[导入](https://docs.aws.amazon.com/apigatewayv2/latest/api-reference/apis.html#ImportApi))的尝试失败。如果密钥不存在,例如没有创建或更新路由时,则 `ForAnyValue` 的计算结果为 false。我们使用 `ForAnyValue` 是因为可以通过导入来创建多个路由。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUpdatesOnApisAndRoutes",
"Effect": "Allow",
"Action": [
"apigateway:POST",
"apigateway:PATCH",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/apis",
"arn:aws:apigateway:us-east-1::/apis/??????????",
"arn:aws:apigateway:us-east-1::/apis/*/routes",
"arn:aws:apigateway:us-east-1::/apis/*/routes/*"
]
},
{
"Sid": "DenyUnauthorizedRoutes",
"Effect": "Deny",
"Action": [
"apigateway:POST",
"apigateway:PATCH",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/apis",
"arn:aws:apigateway:us-east-1::/apis/*"
],
"Condition": {
"ForAnyValue:StringEqualsIgnoreCase": {
"apigateway:Request/RouteAuthorizationType": "NONE"
}
}
}
]
}
```
------
## 防止用户创建或更新 VPC 链接
此策略防止用户创建或更新 VPC 链接。利用 VPC 链接,您可以向 VPC 之外的客户端公开 Amazon VPC 之内的资源。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyVPCLink",
"Effect": "Deny",
"Action": [
"apigateway:POST",
"apigateway:PUT",
"apigateway:PATCH"
],
"Resource": [
"arn:aws:apigateway:us-east-1::/vpclinks",
"arn:aws:apigateway:us-east-1::/vpclinks/*"
]
}
]
}
```
------
## 使用路由规则的策略示例
以下示例策略展示了如何使用 RoutingRule 条件键来控制用户如何将流量从其自定义域名路由到其 REST API。可以使用这些示例为用户可以制定哪种路由规则创建细粒度的策略。有关更多信息,请参阅 [将 API 阶段连接到 REST API 的自定义域名的路由规则](rest-api-routing-rules.md)。
### 防止用户更改自定义域名路由请求的方式
此策略可防止用户创建或更新 `BasePathMapping`、`ApiMapping` 或 `RoutingRule`。所有这些资源都可能更改自定义域名将请求路由到 API 的方式。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyAccessBasePathMappingsApiMappingsRoutingRules",
"Effect": "Deny",
"Action": "apigateway:*",
"Resource": [
"arn:aws:apigateway:us-east-1::/domainnames/example.com/basepathmappings/*",
"arn:aws:apigateway:us-east-1::/domainnames/example.com/apimappings/*",
"arn:aws:apigateway:us-east-1:111122223333:/domainnames/example.com/routingrules/*"
]
}
]
}
```
------
### 支持用户更新特定优先级的路由规则
此策略支持用户仅将路由规则更新为介于 1001 和 2000 之间的优先级。您可以使用此规则将生产规则与优先级较低的规则分开,然后支持用户在不影响生产规则的情况下修改优先级较低的规则。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "UpdatingRoutingRulePriorityBetween1001And2000",
"Effect": "Allow",
"Action": "apigateway:UpdateRoutingRule",
"Resource": "arn:aws:apigateway:us-east-1:111122223333:/domainnames/example.com/routingrules/*",
"Condition": {
"NumericGreaterThanEquals": {
"apigateway:Resource/Priority": 1001,
"apigateway:Request/Priority": 1001
},
"NumericLessThanEquals": {
"apigateway:Resource/Priority": 2000,
"apigateway:Request/Priority": 2000
}
}
}
]
}
```
------
### 支持用户更新特定基本路径值的路由规则或基本路径映射
此策略支持用户仅更新以 `orders` 开头的任何基本路径的基本路径映射,或者更新与以 `orders` 开头的基本路径匹配的路由规则。在此策略中,用户可以更新 `orders/create` 或 `orders123` 而非 `payment/orders` 的基本路径映射或路由规则。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUpdateRoutingRuleUnderPathOrders",
"Effect": "Allow",
"Action": "apigateway:UpdateRoutingRule",
"Resource": "arn:aws:apigateway:us-east-1:111122223333:/domainnames/example.com/routingrules/*",
"Condition": {
"ForAllValues:StringLike": {
"apigateway:Request/ConditionBasePaths": ["orders*"],
"apigateway:Resource/ConditionBasePaths": ["orders*"]
},
"Null":{
"apigateway:Request/ConditionBasePaths":"false",
"apigateway:Resource/ConditionBasePaths":"false"
}
}
}
]
}
```
------
### 支持用户将路由模式更新为特定值
此策略支持用户仅将路由模式更新为 `API_MAPPING_ONLY` 和 `ROUTING_RULE_THEN_API_MAPPING`。有关路由模式的更多信息,请参阅[为自定义域名设置路由模式](set-routing-mode.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUpdateRoutingModeToAnythingWithApiMapping",
"Effect": "Allow",
"Action": ["apigateway:PATCH"],
"Resource": "arn:aws:apigateway:us-east-1::/domainnames/example.com",
"Condition": {
"StringLike": {
"apigateway:Request/RoutingMode":"*API_MAPPING*"
}
}
}
]
}
```
------
# Amazon API Gateway 基于资源的策略示例
有关基于资源的策略示例,请参阅[API Gateway 资源策略示例](apigateway-resource-policies-examples.md)。
# Amazon API Gateway 身份和访问疑难解答
可以使用以下信息,以帮助您诊断和修复在使用 API Gateway 和 IAM 时可能遇到的常见问题。
**Topics**
+ [我无权在 API Gateway 中执行操作](#security_iam_troubleshoot-no-permissions)
+ [我无权执行 iam:PassRole](#security_iam_troubleshoot-passrole)
+ [我希望允许我的AWS账户以外的用户访问我的 API Gateway 资源](#security_iam_troubleshoot-cross-account-access)
## 我无权在 API Gateway 中执行操作
如果您收到错误提示,指明您无权执行某个操作,则必须更新策略以允许执行该操作。
当 `mateojackson` IAM 用户尝试使用控制台查看有关虚构 `my-example-widget` 资源的详细信息,但不拥有虚构 `apigateway:GetWidget` 权限时,会发生以下示例错误。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: apigateway:GetWidget on resource: my-example-widget because no identity-based policy allows the GetWidget action
```
在此情况下,必须更新 `mateojackson` 用户的策略,以允许使用 `apigateway:GetWidget` 操作访问 `my-example-widget` 资源。
如果您需要帮助,请联系 AWS 管理员。您的管理员是提供登录凭证的人。
## 我无权执行 iam:PassRole
如果您收到一个错误,表明您无权执行 `iam:PassRole` 操作,则必须更新策略以允许您将角色传递给 API Gateway。
有些 AWS 服务 允许将现有角色传递到该服务,而不是创建新服务角色或服务关联角色。为此,您必须具有将角色传递到服务的权限。
当名为 `marymajor` 的 IAM 用户尝试使用控制台在 API Gateway 中执行操作时,会发生以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在这种情况下,必须更新 Mary 的策略以允许她执行 `iam:PassRole` 操作。
如果您需要帮助,请联系 AWS 管理员。您的管理员是提供登录凭证的人。
## 我希望允许我的AWS账户以外的用户访问我的 API Gateway 资源
您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表(ACL)的服务,您可以使用这些策略向人员授予对您的资源的访问权。
要了解更多信息,请参阅以下内容:
+ 要了解 API Gateway 是否支持这些功能,请参阅 [Amazon API Gateway 如何与 IAM 配合使用](security_iam_service-with-iam.md)。
+ 要了解如何为您拥有的AWS 账户中的资源提供访问权限,请参阅*IAM 用户指南*中的[为您拥有的另一个AWS 账户中的 IAM 用户提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)。
+ 要了解如何为第三方 AWS 账户 提供您的资源的访问权限,请参阅《IAM 用户指南》**中的[为第三方拥有的 AWS 账户 提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)。
+ 要了解如何通过身份联合验证提供访问权限,请参阅《IAM 用户指南》**中的[为经过外部身份验证的用户(身份联合验证)提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 要了解使用角色和基于资源的策略进行跨账户访问之间的差别,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
# 使用 API Gateway 的服务相关角色
Amazon API Gateway 使用 AWS Identity and Access Management (IAM)[ 服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种与 API Gateway 直接关联的独特类型的 IAM 角色。服务相关角色是由 API Gateway 预定义的,并包含服务代表您调用其他AWS服务所需的所有权限。
您可以使用服务相关角色轻松设置 API Gateway,因为您不必手动添加所需的权限。API Gateway 定义其服务相关角色的权限,除非另外定义,否则只有 API Gateway 可以代入该角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
只有在先删除相关资源后,才能删除服务相关角色。这将保护您的 API Gateway 资源,因为您不会无意中删除对资源的访问权限。
有关支持服务相关角色的其它服务的信息,请参阅[使用 IAM 的 AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),并查找**服务相关角色**列中显示为**是**的服务。选择 **Yes** 与查看该服务的服务相关角色文档的链接。
## API Gateway 的服务相关角色权限
API Gateway 使用名为 **AWSServiceRoleForAPIGateway** 的服务相关角色 – 允许 API Gateway 代表您访问 Elastic Load Balancing、Amazon Data Firehose 和其它服务资源。
AWSServiceRoleForAPIGateway 服务相关角色信任以下服务以代入该角色:
+ `ops.apigateway.amazonaws.com`
角色权限策略允许 API Gateway 对指定的资源完成以下操作:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:AddListenerCertificates",
"elasticloadbalancing:RemoveListenerCertificates",
"elasticloadbalancing:ModifyListener",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeLoadBalancers",
"xray:PutTraceSegments",
"xray:PutTelemetryRecords",
"xray:GetSamplingTargets",
"xray:GetSamplingRules",
"logs:CreateLogDelivery",
"logs:GetLogDelivery",
"logs:UpdateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"servicediscovery:DiscoverInstances"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/amazon-apigateway-*"
},
{
"Effect": "Allow",
"Action": [
"acm:DescribeCertificate",
"acm:GetCertificate"
],
"Resource": "arn:aws:acm:*:*:certificate/*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateNetworkInterfacePermission",
"Resource": "arn:aws:ec2:*:*:network-interface/*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"Owner",
"VpcLinkId"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DeleteNetworkInterface",
"ec2:AssignPrivateIpAddresses",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeVpcs",
"ec2:DescribeNetworkInterfacePermissions",
"ec2:UnassignPrivateIpAddresses",
"ec2:DescribeSubnets",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "servicediscovery:GetNamespace",
"Resource": "arn:aws:servicediscovery:*:*:namespace/*"
},
{
"Effect": "Allow",
"Action": "servicediscovery:GetService",
"Resource": "arn:aws:servicediscovery:*:*:service/*"
}
]
}
```
------
您必须配置权限以允许 IAM 实体(例如,用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 *IAM 用户指南*中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 为 API Gateway 创建服务相关角色
您无需手动创建服务相关角色。当您在AWS 管理控制台、AWS CLI 中或者使用AWS API 创建 API、自定义域名或 VPC 链接时,API Gateway 会再次为您创建服务相关角色。
如果您删除了此服务相关角色然后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。当您创建 API、自定义域名或 VPC 链接时,API Gateway 会再次为您创建服务相关角色。
## 编辑 API Gateway 的服务相关角色
API Gateway 不允许您编辑 AWSServiceRoleForAPIGateway 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅 *IAM 用户指南*中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 API Gateway 的服务相关角色
如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。
**注意**
如果在您试图删除资源时 API Gateway 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,则请等待几分钟后重试。
**删除 AWSServiceRoleForAPIGateway 使用的 API Gateway 资源**
1. 通过以下网址打开 API Gateway 控制台:[https://console.aws.amazon.com/apigateway/](https://console.aws.amazon.com/apigateway/)。
1. 导航到使用服务相关角色的 API、自定义域名或 VPC 链接。
1. 使用控制台删除资源。
1. 重复此过程以删除使用服务相关角色的所有 API、自定义域名或 VPC 链接。
**使用 IAM 手动删除服务关联角色**
使用 IAM 控制台、AWS CLI 或AWS API 删除 AWSServiceRoleForAPIGateway 服务相关角色。有关更多信息,请参阅 *IAM 用户指南* 中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## API Gateway 服务相关角色支持的区域
API Gateway 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 [AWS 服务端点](https://docs.aws.amazon.com/general/latest/gr/rande.html)。
## API Gateway 更新到AWS托管策略
查看有关 API Gateway 的 AWS 托管策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的提示,请订阅[文档历史记录](history.md)页面上的 API Gateway RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| 添加了 `acm:GetCertificate` 支持到 `AWSServiceRoleForAPIGateway` 策略。 | `AWSServiceRoleForAPIGateway` 策略现在包含调用 ACM `GetCertificate` API 操作的权限。 | 2021 年 7 月 12 日 |
| API Gateway 已开启跟踪更改 | API Gateway 为其 AWS 托管策略开启了跟踪更改。 | 2021 年 7 月 12 日 |
# Amazon API Gateway 中的日志记录和监控
监控是保持 API Gateway 和AWS解决方案的可靠性、可用性和性能的重要环节。您应该从AWS解决方案的各个部分收集监控数据,以便您可以更轻松地调试多点故障(如果发生)。AWS提供了多种工具来监控您的 API Gateway 资源并对潜在事件做出响应。
**Amazon CloudWatch Logs**
为了帮助调试与请求执行或客户端对您 API 访问的相关问题,您可以启用 CloudWatch Logs 以记录 API 调用。有关更多信息,请参阅 [为 API Gateway 中的 REST API 设置 CloudWatch 日志记录](set-up-logging.md)。
**Amazon CloudWatch 警报**
使用 CloudWatch 警报,可以观看单个指标在指定时间段内的变化。如果指标超过给定阈值,则会向 Amazon Simple Notification Service 主题或 AWS Auto Scaling 策略发送通知。当指标处于特定状态时,CloudWatch 警报不会调用操作。而是必须在状态已改变并在指定的若干个时间段内保持不变后才调用。有关更多信息,请参阅 [使用 Amazon CloudWatch 指标监控 REST API 执行](monitoring-cloudwatch.md)。
**访问 Firehose 的日志记录**
为了协助调试与客户端对您的 API 的访问相关的问题,您可以启用 Firehose 来记录 API 调用。有关更多信息,请参阅 [在 API Gateway 中记录对 Amazon Data Firehose 的 REST API 调用](apigateway-logging-to-kinesis.md)。
**AWS CloudTrail**
CloudTrail 提供了用户、角色或AWS服务在 API Gateway 中所执行操作的记录。使用 CloudTrail 收集的信息,您可以确定向 API Gateway 发出了什么请求、发出请求的 IP 地址、何人发出的请求、请求的发出时间以及其他详细信息。有关更多信息,请参阅 [使用 AWS CloudTrail 记录 Amazon API Gateway API 调用](cloudtrail.md)。
**AWS X-Ray**
X-Ray 是一项AWS服务,用于收集有关应用程序服务的请求的数据,并使用它来构建服务地图,以便您发现应用程序问题和优化机会。有关更多信息,请参阅 [使用 API Gateway REST API 设置 AWS X-Ray](apigateway-enabling-xray.md)。
**AWS Config**
AWS Config 可以提供关于您的账户中的 AWS 资源配置的详细信息。您可以查看资源的关联方式、获取配置更改的历史记录并了解关系和配置如何随时间的推移而变化。您可以使用 AWS Config 定义评估资源配置是否符合数据的规则。AWS Config 规则代表 API Gateway 资源的理想配置设置。如果某个资源违反了某规则并且被标记为“不合规”,则 AWS Config 可能提醒您使用 Amazon Simple Notification Service (Amazon SNS) 主题。有关详细信息,请参阅[使用 AWS Config 监控 API Gateway API 配置](apigateway-config.md)。
# 使用 AWS CloudTrail 记录 Amazon API Gateway API 调用
Amazon API Gateway 与 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 集成,后者是一项提供用户、角色或 AWS 服务所采取操作的记录的服务。CloudTrail 将 API Gateway 服务的所有 REST API 调用作为事件捕获。捕获的调用包含来自 API Gateway 控制台的调用和对 API Gateway 服务 API 的代码调用。借助通过 CloudTrail 收集的信息,您可以确定向 API Gateway 发出的请求、发出请求的 IP 地址、请求的发出时间以及其它详细信息。
**注意**
未在 CloudTrail 中记录 [TestInvokeAuthorizer](https://docs.aws.amazon.com/cli/latest/reference/apigateway/test-invoke-authorizer.html) 和 [TestInvokeMethod](https://docs.aws.amazon.com/cli/latest/reference/apigateway/test-invoke-method.html)。
每个事件或日志条目都包含有关生成请求的人员信息。身份信息有助于您确定以下内容:
+ 请求是使用根用户凭证还是用户凭证发出的。
+ 请求是否代表 IAM Identity Center 用户发出。
+ 请求是使用角色还是联合用户的临时安全凭证发出的。
+ 请求是否由其他 AWS 服务 发出。
当您创建账户并可以自动访问 CloudTrail **事件历史记录**时,CloudTrail 在您的 AWS 账户 中处于活动状态。CloudTrail **事件历史记录**提供对 AWS 区域 中过去 90 天的已记录管理事件的可查看、可搜索、可下载和不可变记录。有关更多信息,请参见《AWS CloudTrail 用户指南》的 [使用 CloudTrail 事件历史记录](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)**。查看**事件历史记录**不会收取 CloudTrail 费用。
要持续记录您的 AWS 账户 过去 90 天的事件,请创建跟踪或 [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) 事件数据存储。
**CloudTrail 跟踪**
通过*跟踪记录*,CloudTrail 可将日志文件传送至 Simple Storage Service (Amazon S3) 存储桶。使用 AWS 管理控制台 创建的所有跟踪均具有多区域属性。您可以通过使用 AWS CLI 创建单区域或多区域跟踪。建议创建多区域跟踪,因为您可记录您账户中的所有 AWS 区域 的活动。如果您创建单区域跟踪,则只能查看跟踪的 AWS 区域 中记录的事件。有关跟踪的更多信息,请参阅《AWS CloudTrail 用户指南》**中的[为您的 AWS 账户 创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)和[为组织创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)。
通过创建跟踪,您可以从 CloudTrail 免费向您的 Amazon S3 存储桶传送一份正在进行的管理事件的副本,但会收取 Amazon S3 存储费用。有关 CloudTrail 定价的更多信息,请参阅 [AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。有关 Amazon S3 定价的信息,请参阅 [Amazon S3 定价](https://aws.amazon.com/s3/pricing/)。
**CloudTrail Lake 事件数据存储**
*CloudTrail Lake* 允许您对事件运行基于 SQL 的查询。CloudTrail Lake 可将基于行的 JSON 格式的现有事件转换为 [Apache ORC](https://orc.apache.org/) 格式。ORC 是一种针对快速检索数据进行优化的列式存储格式。事件将被聚合到*事件数据存储*中,它是基于您通过应用[高级事件选择器](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors)选择的条件的不可变的事件集合。应用于事件数据存储的选择器用于控制哪些事件持续存在并可供您查询。有关 CloudTrail Lake 的更多信息,请参阅《AWS CloudTrail 用户指南》**中的[使用 AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html)。
CloudTrail Lake 事件数据存储和查询会产生费用。创建事件数据存储时,您可以选择要用于事件数据存储的[定价选项](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option)。定价选项决定了摄取和存储事件的成本,以及事件数据存储的默认和最长保留期。有关 CloudTrail 定价的更多信息,请参阅 [AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
## CloudTrail 中的 API Gateway 管理事件
[管理事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events)提供对您的 AWS 账户 内资源所执行管理操作的相关信息。这些也称为控制面板操作。默认情况下,CloudTrail 会记录管理事件。
Amazon API Gateway 将所有 API Gateway 操作记录为管理事件,但 [TestInvokeAuthorizer](https://docs.aws.amazon.com/cli/latest/reference/apigateway/test-invoke-authorizer.html) 和 [TestInvokeMethod](https://docs.aws.amazon.com/cli/latest/reference/apigateway/test-invoke-method.html) 除外。有关 API Gateway 记录到 CloudTrail 的 Amazon API Gateway 操作的列表,请参阅 [Amazon API Gateway API Reference](https://docs.aws.amazon.com/apigateway/latest/api/API_Operations.html)。
## API Gateway 事件示例
一个事件表示一个来自任何源的请求,包括有关所请求的 API 操作、操作的日期和时间、请求参数等方面的信息。CloudTrail 日志文件不是公用 API 调用的有序堆栈跟踪,因此事件不会按任何特定顺序显示。
下面的示例显示了一个 CloudTrail 事件,该事件演示了 API Gateway `GetResource` 操作。
```
{
Records: [
{
eventVersion: "1.03",
userIdentity: {
type: "Root",
principalId: "AKIAI44QH8DHBEXAMPLE",
arn: "arn:aws:iam::123456789012:root",
accountId: "123456789012",
accessKeyId: "AKIAIOSFODNN7EXAMPLE",
sessionContext: {
attributes: {
mfaAuthenticated: "false",
creationDate: "2015-06-16T23:37:58Z"
}
}
},
eventTime: "2015-06-17T00:47:28Z",
eventSource: "apigateway.amazonaws.com",
eventName: "GetResource",
awsRegion: "us-east-1",
sourceIPAddress: "203.0.113.11",
userAgent: "example-user-agent-string",
requestParameters: {
restApiId: "3rbEXAMPLE",
resourceId: "5tfEXAMPLE",
template: false
},
responseElements: null,
requestID: "6d9c4bfc-148a-11e5-81b6-7577cEXAMPLE",
eventID: "4d293154-a15b-4c33-9e0a-ff5eeEXAMPLE",
readOnly: true,
eventType: "AwsApiCall",
recipientAccountId: "123456789012"
},
... additional entries ...
]
}
```
有关 CloudTrail 记录内容的信息,请参阅《AWS CloudTrail 用户指南》**中的 [CloudTrail 记录内容](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)。
# 使用 AWS Config 监控 API Gateway API 配置
您可以使用 [AWS Config](https://aws.amazon.com/config/) 来记录对您的 API Gateway API 资源所做的配置更改,并根据资源更改发送通知。维护 API Gateway 资源的配置更改历史记录对于运行问题排查、审计与合规性使用案例非常有用。
AWS Config 可以跟踪以下项的更改:
+ **API 阶段配置**,如:
+ 缓存集群设置
+ 限制设置
+ 访问日志设置
+ 为阶段设置的活动部署
+ **API 配置**,如:
+ 终端节点配置
+ 版本
+ 协议
+ 标签
此外,AWS Config 规则 功能让您能够定义配置规则并自动检测、跟踪和提醒对于这些规则的违反行为。通过跟踪对这些资源配置属性的更改,您还可以为 API Gateway 资源编写更改触发的 AWS Config 规则,并根据最佳实践测试资源配置。
您可以使用 AWS Config 控制台或 AWS Config 为账户启用 AWS CLI。选择要跟踪更改的资源类型。如果您之前配置了 AWS Config 来记录所有资源类型,那么这些 API Gateway 资源将会自动记录到您的账户中。所有AWS 公共区域和 AWS GovCloud (US) 均提供对 AWS Config 中的 Amazon API Gateway 的支持。有关受支持区域的完整列表,请参阅《AWS 一般参考》中的 [Amazon API Gateway 端点和限额](https://docs.aws.amazon.com/general/latest/gr/apigateway.html)。
**Topics**
+ [支持的资源类型](#apigateway-config-resources-rules)
+ [设置 AWS Config](#apigateway-config-setup)
+ [配置 AWS Config 以记录 API Gateway 资源](#apigateway-config-configuring)
+ [在 AWS Config 控制台中查看 API Gateway 配置详细信息](#apigateway-config-console)
+ [使用 AWS Config 规则评估 API Gateway 资源](#apigateway-config-rules)
## 支持的资源类型
以下 API Gateway 资源类型与 AWS Config 集成并记录到 [AWS Config 支持的AWS资源类型和资源关系中](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html):
+ `AWS::ApiGatewayV2::Api`(WebSocket 和 HTTP API)
+ `AWS::ApiGateway::RestApi` (REST API)
+ `AWS::ApiGatewayV2::Stage`(WebSocket 和 HTTP API 阶段)
+ `AWS::ApiGateway::Stage`(REST API 阶段)
有关 AWS Config 的更多信息,请参阅 [AWS Config 开发人员指南](https://docs.aws.amazon.com/config/latest/developerguide/)。有关定价信息,请参阅 [AWS Config 定价信息页](https://aws.amazon.com/config/pricing/)。
**重要**
如果您在部署 API 后更改以下任一 API 属性,则*必须* [重新部署](how-to-deploy-api.md) API 以传播更改。否则,您将在 AWS Config 控制台中看到属性更改,但之前的属性设置仍有效;API 的运行时行为将保持不变。
**`AWS::ApiGateway::RestApi`** – `binaryMediaTypes`, `minimumCompressionSize`, `apiKeySource`
**`AWS::ApiGatewayV2::Api`** – `apiKeySelectionExpression`
## 设置 AWS Config
要初次设置 AWS Config,请参阅 [AWS Config 开发人员指南](https://docs.aws.amazon.com/config/latest/developerguide/)中的以下主题。
+ [使用控制台设置 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html)
+ [使用 AWS CLI 设置 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli.html)
## 配置 AWS Config 以记录 API Gateway 资源
默认情况下,AWS Config 会记录在环境的运行区域中发现的所有受支持类型的区域性资源的配置更改。您可以自定义 AWS Config,使其仅记录特定资源类型的更改或仅记录对全局资源的更改。
要了解区域与全局资源以及了解如何自定义您的 AWS Config 配置,请参阅[选择 AWS Config 记录的资源](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)。
## 在 AWS Config 控制台中查看 API Gateway 配置详细信息
您可使用 AWS Config 控制台来查找 API Gateway 资源,并获取有关其配置的当前和历史详细信息。以下过程显示了如何查找有关 API Gateway API 的信息。
**在 AWS Config 控制台中查找 API Gateway 资源**
1. 打开 [AWS Config 控制台](https://console.aws.amazon.com/config)。
1. 选择 **Resources (资源)**。
1. 在 **Resource (资源)** 清单页面上,选择 **Resources (资源)**。
1. 打开 **Resource type (资源类型)** 菜单,滚动到 APIGateway 或 APIGatewayV2,然后选择一个或多个 API Gateway 资源类型。
1. 选择 **Look up (查找)**。
1. 选择 AWS Config 显示的资源列表中的一个资源 ID。AWS Config 将显示配置详细信息以及有关所选资源的其他信息。
1. 要查看记录的配置的完整详细信息,请选择 **View Details (查看详细信息)**。
要了解在此页面上查找资源和查看信息的更多方法,请参阅“AWS Config 开发人员指南”中的[查看AWS资源配置和历史记录](https://docs.aws.amazon.com/config/latest/developerguide/view-manage-resource.html)。
## 使用 AWS Config 规则评估 API Gateway 资源
您可以创建 AWS Config 规则,这些规则表示 API Gateway 资源的理想配置设置。您可以使用预定义的 [AWS Config 托管规则](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html),也可以定义自定义规则。AWS Config 会持续跟踪对您的资源配置的更改,以确定这些更改是否符合规则中设定的所有条件。AWS Config 控制台将显示您的规则与资源的合规性状态。
如果某个资源违反了某规则并且被标记为“不合规”,AWS Config 可提醒您使用 [Amazon Simple Notification Service 开发人员指南](https://docs.aws.amazon.com/sns/latest/dg/) (Amazon SNS) 主题。要以编程方式使用这些 AWS Config 提醒中的数据,请使用 Amazon Simple Queue Service (Amazon SQS) 队列作为 Amazon SNS 主题的通知终端节点。
要了解有关设置和使用规则的更多信息,请参阅 [AWS Config 开发人员指南](https://docs.aws.amazon.com/config/latest/developerguide/)中的[使用规则评估资源](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)。
# Amazon API Gateway 的合规性验证
要了解某个 AWS 服务是否在特定合规性计划范围内,请参阅[合规性计划范围内的 AWS 服务](https://aws.amazon.com/compliance/services-in-scope/),然后选择您感兴趣的合规性计划。有关常规信息,请参阅 [AWS 合规性计划](https://aws.amazon.com/compliance/programs/)、、。
您可以使用 AWS Artifact 下载第三方审计报告。有关更多信息,请参阅[在 AWS Artifact 中下载报告](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)、。
您在使用 AWS 服务 时的合规性责任由您的数据的敏感性、您公司的合规性目标以及适用的法律法规决定。有关您在使用 AWS 服务时的合规责任的更多信息,请参阅 [AWS 安全性文档](https://docs.aws.amazon.com/security/)。
# Amazon API Gateway 中的弹性
AWS全球基础架构围绕AWS区域和可用区构建。AWS区域提供多个在物理上独立且隔离的可用区,这些可用区通过延迟低、吞吐量高且冗余性高的网络连接在一起。利用可用区,您可以设计和操作在可用区之间无中断地自动实现失效转移的应用程序和数据库。与传统的单个或多个数据中心基础设施相比,可用区具有更高的可用性、容错性和可扩展性。
作为一项完全托管式区域服务,API Gateway 在每个区域的多个可用区中运行,并利用可用区冗余来最大限度地减少“基础设施故障”这类可用性风险。API Gateway 被设计成能够自动从可用区故障中恢复。
有关 AWS 区域和可用区的更多信息,请参阅 [AWS 全球基础架构](https://aws.amazon.com/about-aws/global-infrastructure/)。
为了防止您的 API 被过多的请求所淹没,API Gateway 限制对您的 API 的请求。具体来说,API Gateway 对于一个账户中的所有 API 设置请求提交稳态速率限制和突增限制。您可以为 API 配置自定义限制。要了解更多信息,请参阅 [在 API Gateway 中限制对 REST API 的请求以提高吞吐量](api-gateway-request-throttling.md)。
您可以使用 Route 53 运行状况检查,来控制从主要区域的 API Gateway API 到辅助区域的 API Gateway API 的 DNS 故障转移。有关示例,请参阅 [为 API Gateway API 配置针对 DNS 故障转移的自定义运行状况检查](dns-failover.md)。
# Amazon API Gateway 中的基础设施安全
作为一项托管式服务,Amazon API Gateway 受 AWS 全球网络安全保护。有关 AWS 安全服务以及 AWS 如何保护基础设施的信息,请参阅 [AWS 云安全性](https://aws.amazon.com/security/)。要按照基础设施安全最佳实践设计您的 AWS 环境,请参阅《安全性支柱 AWS Well‐Architected Framework》**中的[基础设施保护](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。
您可以使用 AWS 发布的 API 调用通过网络访问 API Gateway。客户端必须支持以下内容:
+ 传输层安全性协议(TLS)。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 具有完全向前保密(PFS)的密码套件,例如 DHE(临时 Diffie-Hellman)或 ECDHE(临时椭圆曲线 Diffie-Hellman)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
您可以从任何网络位置调用这些 API 操作,但 API Gateway 不支持基于资源的访问策略,其中可以包含基于源 IP 地址的限制。您还可以使用基于资源的策略以控制来自特定 Amazon Virtual Private Cloud (Amazon VPC) 终端节点或特定 VPC 的访问。事实上,这隔离了在 AWS 网络中仅从特定 VPC 到给定 API Gateway 资源的网络访问。
# Amazon API Gateway 中的漏洞分析
配置和 IT 控制是 AWS 和您(我们的客户)之间的共同责任。有关更多信息,请参阅 AWS[ 责任共担模型](https://aws.amazon.com/compliance/shared-responsibility-model/)。
# Amazon API Gateway 中的安全最佳实践
API Gateway 提供了在您开发和实施自己的安全策略时需要考虑的大量安全功能。以下最佳实践是一般准则,并不代表完整的安全解决方案。由于这些最佳实践可能不适合您的环境或不满足您的环境要求,因此将其视为有用的考虑因素而不是惯例。
**实施最低权限访问**
使用 IAM 策略实施最低权限访问,以创建、读取、更新或删除 API Gateway API。要了解更多信息,请参阅“[适用于 Amazon API Gateway 的 Identity and Access Management](security-iam.md)”。API Gateway 提供了多个选项来控制对您创建的 API 的访问。要了解更多信息,请参阅[在 API Gateway 中控制和管理对 REST API 的访问](apigateway-control-access-to-api.md)、[在 API Gateway 中控制和管理对 WebSocket API 的访问](apigateway-websocket-api-control-access.md)以及 [在 API Gateway 中使用 JWT 授权方控制对 HTTP API 的访问](http-api-jwt-authorizer.md)。
**实施日志记录**
使用 CloudWatch Logs 或 Amazon Data Firehose 记录对 API 的请求。要了解更多信息,请参阅[监控 API Gateway 中的 REST API](rest-api-monitor.md)、[为 API Gateway 中的 WebSocket API 配置日志记录](websocket-api-logging.md)以及 [为 API Gateway 中的 HTTP API 配置日志记录](http-api-logging.md)。
**实施 Amazon CloudWatch 警报**
使用 CloudWatch 警报,可以观看单个指标在指定时间段内的变化。如果指标超过给定阈值,则会向 Amazon Simple Notification Service 主题或 AWS Auto Scaling 策略发送通知。当指标处于特定状态时,CloudWatch 警报不会调用操作。而是必须在状态已改变并在指定的若干个时间段内保持不变后才调用。有关更多信息,请参阅 [使用 Amazon CloudWatch 指标监控 REST API 执行](monitoring-cloudwatch.md)。
**启用 AWS CloudTrail**
CloudTrail 提供了用户、角色或AWS服务在 API Gateway 中所执行操作的记录。使用 CloudTrail 收集的信息,您可以确定向 API Gateway 发出了什么请求、发出请求的 IP 地址、何人发出的请求、请求的发出时间以及其他详细信息。有关更多信息,请参阅 [使用 AWS CloudTrail 记录 Amazon API Gateway API 调用](cloudtrail.md)。
**启用 AWS Config**
AWS Config 可以提供关于您的账户中的 AWS 资源配置的详细信息。您可以查看资源的关联方式、获取配置更改的历史记录并了解关系和配置如何随时间的推移而变化。您可以使用 AWS Config 定义评估资源配置是否符合数据的规则。AWS Config 规则代表 API Gateway 资源的理想配置设置。如果某个资源违反了某规则并且被标记为“不合规”,则 AWS Config 可能提醒您使用 Amazon Simple Notification Service (Amazon SNS) 主题。有关详细信息,请参阅[使用 AWS Config 监控 API Gateway API 配置](apigateway-config.md)。
**使用 AWS Security Hub CSPM**
监控 API Gateway 的使用情况,因为它与使用 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 的安全最佳实践相关。Security Hub CSPM 使用*安全控件*来评估资源配置和*安全标准*,以帮助您遵守各种合规框架。有关使用 Security Hub CSPM 评估 API Gateway 资源的更多信息,请参阅《AWS Security Hub 用户指南》**中的 [Amazon API Gateway 控件](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html)。