# 发布 WebSocket API 供客户调用
仅仅创建和开发 API Gateway API 并不会自动使其可供用户调用。要使 API 可供调用,您必须将其部署到一个阶段。此外,建议您自定义用户将用于访问 API 的 URL。您可以为其提供一个与品牌一致的域,或者使其比 API 的默认 URL 更容易记住。
在本节中,您可以了解如何部署 API 并自定义您提供给用户以访问 API 的 URL。
**注意**
为了增强您的 API Gateway API 的安全性,将在[公共后缀列表 (PSL)](https://publicsuffix.org/) 中注册 `execute-api.{region}.amazonaws.com` 域。为进一步增强安全性,如果您需要在 API Gateway API 的默认域名中设置敏感 Cookie,我们建议您使用带 `__Host-` 前缀的 Cookie。这将有助于保护您的域,防范跨站点请求伪造 (CSRF) 攻击。要了解更多信息,请参阅 Mozilla 开发者网络中的 [Set-Cookie](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie#cookie_prefixes) 页面。
**Topics**
+ [为 API Gateway 中的 WebSocket API 创建阶段](websocket-api-stages.md)
+ [在 API Gateway 中部署 WebSocket API](apigateway-set-up-websocket-deployment.md)
+ [针对 API Gateway 中的 WebSocket API 的安全策略](websocket-api-ciphers.md)
+ [针对 API Gateway 中的 WebSocket API 自定义域名](websocket-api-custom-domain-names.md)
# 为 API Gateway 中的 WebSocket API 创建阶段
一个 API 阶段是对您 API 生命周期状态(例如,`dev`、`prod`、`beta` 或 `v2`)的一次逻辑引用。API 阶段通过 API ID 和阶段名称标识,包含在您用于调用 API 的 URL 中。每个阶段都是一个对 API 部署的命名引用,可供客户端应用程序调用。
部署是 API 配置的快照。将 API 部署到阶段后,客户端可以调用该 API。您必须部署 API 才能使更改生效。
## 阶段变量
阶段变量是您可以为 WebSocket API 的阶段定义的键/值对。它们与环境变量的功能类似,可用于 API 设置。
例如,您可以定义阶段变量,然后将其值设置为某个 HTTP 代理集成的 HTTP 端点。稍后,您可以使用关联的阶段变量名称引用端点。通过执行此操作,您可以在各个阶段对不同端点使用相同的 API 设置。同样,您可以使用阶段变量,为 API 的各个阶段指定不同的 AWS Lambda 函数集成。
**注意**
阶段变量不适用于敏感数据,例如凭证。要将敏感数据传递给集成,请使用 AWS Lambda 授权方。您可以在 Lambda 授权方的输出中将敏感数据传递给集成。要了解更多信息,请参阅“[Lambda 授权方响应格式](http-api-lambda-authorizer.md#http-api-lambda-authorizer.payload-format-response)”。
### 示例
要使用阶段变量自定义 HTTP 集成端点,您必须首先设置阶段变量的名称和值(例如 `url`,值为 `example.com`)。接下来,设置 HTTP 代理集成。您可以告知 API Gateway 使用阶段变量值 **http://\$1\$1stageVariables.url\$1**,而不是输入端点的 URL。此值将指示 API Gateway 在运行时替换您的阶段变量 `${}`,具体取决于 API 所处的阶段。
您可以通过类似的方式引用阶段变量,用于指定 Lambda 函数名称或AWS角色 ARN。
将 Lambda 函数名称指定为阶段变量值时,您必须手动配置对 Lambda 函数的权限。以下 [add-permission](https://docs.aws.amazon.com/cli/latest/reference/lambda/add-permission.html) 命令添加所需的权限:
```
aws lambda add-permission --function-name arn:aws:lambda:XXXXXX:your-lambda-function-name --source-arn arn:aws:execute-api:us-east-1:YOUR_ACCOUNT_ID:api_id/*/HTTP_METHOD/resource --principal apigateway.amazonaws.com --statement-id apigateway-access --action lambda:InvokeFunction
```
## API Gateway 阶段变量参考
### HTTP 集成 URI
您可将阶段变量用作 HTTP 集成 URI 的一部分,如以下示例所示。
+ 不带协议的完整 URI – `http://${stageVariables.}`
+ 完整域 – `http://${stageVariables.}/resource/operation`
+ 子域 – `http://${stageVariables.}.example.com/resource/operation`
+ 路径 – `http://example.com/${stageVariables.}/bar`
+ 查询字符串 – `http://example.com/foo?q=${stageVariables.}`
### Lambda 函数
您可以使用阶段变量代替 Lambda 函数名称或别名,如以下示例所示。
+ `arn:aws:apigateway::lambda:path/2015-03-31/functions/arn:aws:lambda:::function:${stageVariables.}/invocations`
+ `arn:aws:apigateway::lambda:path/2015-03-31/functions/arn:aws:lambda:::function::${stageVariables.}/invocations`
**注意**
要将阶段变量用于 Lambda 函数,该函数必须与 API 位于同一账户中。阶段变量不支持跨账户 Lambda 函数。
### AWS 集成凭证
您可以在 AWS 用户或角色凭证 ARN 中使用阶段变量,如以下示例所示。
+ `arn:aws:iam:::${stageVariables.}`
# 在 API Gateway 中部署 WebSocket API
在创建 WebSocket API 之后,您必须对其进行部署,以便您的用户可以调用它。
要部署 API,您可以创建 [API 部署](api-gateway-basic-concept.md#apigateway-definition-api-deployment)并将其与[阶段](api-gateway-basic-concept.md#apigateway-definition-api-stage)关联。每个阶段都是 API 的一个快照,可供客户端应用程序调用。
**重要**
每次更新 API 后,都必须重新部署 API。对阶段设置以外的任何内容进行更改都需要重新部署,包括修改以下资源:
路线
集成
授权方
默认情况下,您将受到每个 API 10 个阶段的限制。我们建议您为部署重用阶段。
为调用已部署的 WebSocket API,客户端会向 API 的 URL 发送消息。URL 由 API 的主机名和阶段名称确定。
**注意**
API Gateway 将支持最大 128 KB 的负载,最大帧大小为 32 KB。如果消息超过 32 KB,则必须将其拆分为多个帧,每个 32 KB 或更小。
使用 API 的默认域名,给定阶段 (`{stageName}`) 中的 WebSocket API 的 URL(例如)采用以下格式:
```
wss://{api-id}.execute-api.{region}.amazonaws.com/{stageName}
```
要使 WebSocket API 的 URL 对用户更友好,您可以创建自定义域名(如 `api.example.com`)来替换该 API 的默认主机名。配置过程与 REST API 相同。有关更多信息,请参阅 [API Gateway 中公共 REST API 的自定义域名](how-to-custom-domains.md)。
阶段实现了对 API 的可靠版本控制。例如,您可以将 API 部署到 `test` 阶段和 `prod` 阶段,并使用 `test` 阶段作为测试版本,使用 `prod` 阶段作为稳定版本。更新通过测试之后,您可以将 `test` 阶段提升到 `prod` 阶段。可以通过将 API 重新部署到 `prod` 阶段来完成升级。有关阶段的详细信息,请参阅[为 API Gateway 中的 REST API 设置阶段](set-up-stages.md)。
**Topics**
+ [使用 AWS CLI 创建 WebSocket API 部署](#apigateway-create-websocket-deployment-using-awscli)
+ [使用 API Gateway 控制台创建 WebSocket API 部署](#apigateway-create-websocket-deployment-using-console)
## 使用 AWS CLI 创建 WebSocket API 部署
下面的 [create-deployment](https://docs.aws.amazon.com/cli/latest/reference/apigatewayv2/create-deployment.html) 命令将创建一个部署。
```
aws apigatewayv2 --region us-east-1 create-deployment --api-id aabbccddee
```
输出将与以下内容类似:
```
{
"DeploymentId": "fedcba",
"DeploymentStatus": "DEPLOYED",
"CreatedDate": "2018-11-15T06:49:09Z"
}
```
在您将此部署与阶段关联之前,部署的 API 不可调用。您可以创建新阶段或重用之前创建的阶段。
使用以下 [create-stage](https://docs.aws.amazon.com/cli/latest/reference/apigatewayv2/create-stage.html) 命令创建新的阶段并将其与部署关联:
```
aws apigatewayv2 --region us-east-1 create-stage --api-id aabbccddee --deployment-id fedcba --stage-name test
```
输出内容如下所示:
```
{
"StageName": "test",
"CreatedDate": "2018-11-15T06:50:28Z",
"DeploymentId": "fedcba",
"DefaultRouteSettings": {
"MetricsEnabled": false,
"ThrottlingBurstLimit": 5000,
"DataTraceEnabled": false,
"ThrottlingRateLimit": 10000.0
},
"LastUpdatedDate": "2018-11-15T06:50:28Z",
"StageVariables": {},
"RouteSettings": {}
}
```
您还可以使用新创建的部署 ID(*deployment-id*)来更新阶段的 `deploymentId` 属性,以便重复使用现有的阶段。使用以下 [update-stage](https://docs.aws.amazon.com/cli/latest/reference/apigatewayv2/update-stage.html) 命令更新阶段的部署 ID:
```
aws apigatewayv2 update-stage --region region \
--api-id api-id \
--stage-name stage-name \
--deployment-id deployment-id
```
## 使用 API Gateway 控制台创建 WebSocket API 部署
要使用 API Gateway 控制台为 WebSocket API 创建部署,请执行以下操作:
1. 登录 API Gateway 控制台并选择 API。
1. 选择**部署 API**。
1. 从下拉列表中选择所需的阶段,或输入新阶段的名称。
# 针对 API Gateway 中的 WebSocket API 的安全策略
API Gateway 对所有 WebSocket API 端点强制执行 `TLS_1_2` 的安全策略。
*安全策略* 是 Amazon API Gateway 提供的最低 TLS 版本和密码套件的预定义组合。TLS 协议解决了网络安全问题,例如客户端和服务器之间的篡改和窃听。当您的客户端通过自定义域建立与您 API 的 TLS 握手时,安全策略实施客户端可以选择使用的 TLS 版本和密码套件选项。此安全策略接受 TLS 1.2 和 TLS 1.3 流量并拒绝 TLS 1.0 流量。
## WebSocket API 支持的 TLS 协议和密码
下表描述了 WebSocket API 支持的 TLS 协议。
| **TLS 协议** | **TLS\$11\$10 安全策略** |
| --- | --- |
| TLSv1.3 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/apigateway/latest/developerguide/images/success_icon.svg) 是 |
| TLSv1.2 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/apigateway/latest/developerguide/images/success_icon.svg) 是 |
下表描述了适用于 WebSocket API 的 TLS 1\$12 安全策略的 TLS 密码。
| **TLS 密码** | **TLS\$11\$10 安全策略** |
| --- | --- |
| TLS\$1AES\$1128\$1GCM\$1SHA256 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/apigateway/latest/developerguide/images/success_icon.svg) 是 |
| TLS\$1AES\$1256\$1GCM\$1SHA384 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/apigateway/latest/developerguide/images/success_icon.svg) 是 |
| TLS\$1CHACHA20\$1POLY1305\$1SHA256 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/apigateway/latest/developerguide/images/success_icon.svg) 是 |
| ECDHE-ECDSA-AES128- GCM-SHA256 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/apigateway/latest/developerguide/images/success_icon.svg) 是 |
| ECDHE-RSA-AES128- GCM-SHA256 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/apigateway/latest/developerguide/images/success_icon.svg) 是 |
| ECDHE-ECDSA-AES128-SHA256 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/apigateway/latest/developerguide/images/success_icon.svg) 是 |
| ECDHE-RSA-AES128-SHA256 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/apigateway/latest/developerguide/images/success_icon.svg) 是 |
| ECDHE-ECDSA-AES256- GCM-SHA384 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/apigateway/latest/developerguide/images/success_icon.svg) 是 |
| ECDHE-RSA-AES256- GCM-SHA384 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/apigateway/latest/developerguide/images/success_icon.svg) 是 |
| ECDHE-ECDSA-AES256-SHA384 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/apigateway/latest/developerguide/images/success_icon.svg) 是 |
| ECDHE-RSA-AES256-SHA384 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/apigateway/latest/developerguide/images/success_icon.svg) 是 |
| AES128-GCM-SHA256 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/apigateway/latest/developerguide/images/success_icon.svg) 是 |
| AES128-SHA256 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/apigateway/latest/developerguide/images/success_icon.svg) 是 |
| AES256-GCM-SHA384 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/apigateway/latest/developerguide/images/success_icon.svg) 是 |
| AES256-SHA256 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/apigateway/latest/developerguide/images/success_icon.svg) 是 |
## OpenSSL 和 RFC 密码名称
OpenSSL 和 IETF RFC 5246 为相同的密码使用不同的名称。有关密码名称的列表,请参阅[OpenSSL 和 RFC 密码名称](apigateway-security-policies-list.md#apigateway-secure-connections-openssl-rfc-cipher-names)。
## 有关 REST API 和 HTTP API 的信息
有关 REST API 和 HTTP API 的更多信息,请参阅[选择针对 API Gateway 中自定义域的安全策略](apigateway-custom-domain-tls-version.md)和[API Gateway 中的 HTTP API 的安全策略](http-api-ciphers.md)。
# 针对 API Gateway 中的 WebSocket API 自定义域名
*自定义域名* 是您可以提供给 API 用户的更简单、更直观的 URL。
部署 API 后,您(和您的客户)可以使用以下格式的默认基本 URL 调用 API:
```
https://api-id.execute-api.region.amazonaws.com/stage
```
其中 *api-id* 由 API Gateway 生成,*region* 是 AWS 区域,*stage* 由您在部署 API 时指定。
URL 的主机名部分(即 `api-id.execute-api.region.amazonaws.com`)是指 API 端点。默认 API 端点名称是随机生成的,难以重新调用,对用户不友好。
使用自定义域名,您可以设置 API 的主机名,并选择基本路径(例如 `myservice`)以将备用 URL 映射到 API。例如,一个更为用户友好的 API 基本 URL 可以变成:
```
https://api.example.com/myservice
```
## 注意事项
以下注意事项可能会影响您对自定义域名的使用。
+ 如果将一个自定义域名映射到了 WebSocket API,就无法将其映射到 REST API 或 HTTP API。
+ 仅支持区域自定义域名。
+ 对于最低 TLS 版本,仅支持 TLS 1.2。
+ 您必须创建或更新 DNS 提供程序的资源记录以映射到您的 API 端点。如果没有此类映射,针对自定义域名的 API 请求无法到达 API Gateway。
+ 您可以使用通配符证书,在不超过默认配额的情况下支持几乎无限数量的域名。有关更多信息,请参阅 [通配符自定义域名](http-api-custom-domain-names.md#http-wildcard-custom-domain-names)。
## 先决条件
以下是自定义域名的先决条件。
### 注册域名
您必须拥有已注册的 Internet 域名,以便为 API 设置自定义域名。您可以使用 [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/) 或使用您选择的第三方域注册商注册互联网域名。自定义域名可以是注册的互联网域的子域或根域(也称为“机构根网域”)名称。
域名必须遵循 [RFC 1035](https://tools.ietf.org/html/rfc1035#section-2.3.4) 规范,每个标签最多可以有 63 个八位字节,总共可以有 255 个八位字节。
### 自定义域名的证书
为 API 设置自定义域名之前,您必须先在 ACM 中准备好 SSL/TLS 证书。如果 ACM 在您要创建自定义域名的 AWS 区域中不可用,您必须将证书导入到该区域的 API Gateway。
要导入 SSL/TLS 证书,您必须针对自定义域名提供 PEM 格式的 SSL/TLS 证书文本、其私有密钥和证书链。
存储在 ACM 中的每个证书均由其 ARN 标识。如果拥有 ACM 颁发的证书,那么您就无需担心公开任何敏感的证书详细信息,如私有密钥。要针对域名使用 AWS 托管的证书,您只需参考其 ARN 即可。
如果您的应用程序使用证书固定(有时称为 SSL 固定)来固定 ACM 证书,则在 AWS 续订证书后,应用程序可能无法连接到您的域。有关更多信息,请参阅《AWS Certificate Manager 用户指南》**中的[证书固定问题](https://docs.aws.amazon.com/acm/latest/userguide/troubleshooting-pinning.html)。
## 通配符自定义域名
使用通配符自定义域名,您可以在不超过[默认配额](limits.md)的情况下支持几乎无限数量的域名。例如,您可以为每位客户提供自己的域名 `customername.api.example.com`。
要创建通配符自定义域名,可以指定通配符 (`*`) 作为表示根域所有可能子域的自定义域的第一个子域。
例如,通配符自定义域名 `*.example.com` 会生成子域,如 `a.example.com`、`b.example.com` 和 `c.example.com`,这些子域都会路由到同一个域。
通配符自定义域名支持与 API Gateway 的标准自定义域名不同的配置。例如,在单个 AWS 账户中,您可以对 `*.example.com` 和 `a.example.com` 进行不同的配置。
您可以使用 `$context.domainName` 和 `$context.domainPrefix` 上下文变量来确定客户端用于调用 API 的域名。要了解有关上下文变量的更多信息,请参阅 [API Gateway 的用于数据转换的变量](api-gateway-mapping-template-reference.md)。
要创建通配符自定义域名,您必须提供已使用 DNS 或电子邮件验证方法验证的由 ACM 颁发的证书。
**注意**
如果其他 AWS 账户已经创建了与通配符自定义域名冲突的自定义域名,则无法创建通配符自定义域名。例如,如果账户 A 已经创建了 `a.example.com`,则账户 B 无法创建通配符自定义域名 `*.example.com`。
如果账户 A 和账户 B 共享拥有者,您可以联系 [AWS Support 中心](https://console.aws.amazon.com/support/home#/)请求例外。
## 自定义域名的后续步骤
要为 HTTP API 设置自定义域名,您可以使用《API Gateway 开发人员指南》中的“REST API”部分的文档。
首先,为自定义域名指定一个证书。有关更多信息,请参阅 [在 AWS Certificate Manager 中准备好证书](how-to-specify-certificate-for-custom-domain-name.md)。然后,创建一个区域性自定义域名。有关更多信息,请参阅 [在 API Gateway 中设置区域自定义域名](apigateway-regional-api-custom-domain-create.md)。
# 将 API 阶段映射到 WebSocket API 的自定义域名
您可以使用 API 映射将 API 阶段连接到自定义域名。创建域名并配置 DNS 记录后,您可以使用 API 映射通过自定义域名向 API 发送流量。
API 映射指定了用于映射的 API、阶段以及可选的路径。例如,您可以将 API 的 `production` 阶段映射到 `wss://api.example.com/orders`。
在创建 API 映射之前,您必须拥有 API、阶段和自定义域名。要了解有关创建自定义域名的更多信息,请参阅 [在 API Gateway 中设置区域自定义域名](apigateway-regional-api-custom-domain-create.md)。
## 限制
+ 在 API 映射中,自定义域名和映射的 API 必须位于同一个AWS账户中。
+ API 映射必须仅包含字母、数字和以下字符:`$-_.+!*'()`。
+ API 映射中路径的最大长度为 300 个字符。
+ 您不能将 WebSocket API 映射到与 HTTP API 或 REST API 相同的自定义域名。
+ 如果您创建具有多个级别的 API 映射,API Gateway 会将所有标头名称转换为小写。
## 创建 API 映射
要创建 API 映射,您必须首先创建自定义域名、API 和阶段。有关使用自定义域名的更多信息,请参阅 [在 API Gateway 中设置区域自定义域名](apigateway-regional-api-custom-domain-create.md)。
------
#### [ AWS 管理控制台 ]
**创建 API 映射**
1. 通过以下网址登录到 Amazon API Gateway 控制台:[https://console.aws.amazon.com/apigateway](https://console.aws.amazon.com/apigateway)。
1. 选择**自定义域名**。
1. 选择您已经创建的自定义域名。
1. 选择 **API 映射**。
1. 选择 **Configure API mappings (配置 API 映射)**。
1. 选择 **Add new mapping (添加新映射)**。
1. 输入 **API**、**阶段**以及可选的**路径**。
1. 选择**保存**。
------
#### [ AWS CLI ]
使用以下 [create-api-mapping](https://docs.aws.amazon.com/cli/latest/reference/apigatewayv2/create-api-mapping.html) 命令创建 API 映射。在此示例中,API Gateway 将请求发送到 `api.example.com/v1`,到指定的 API 和阶段。
```
aws apigatewayv2 create-api-mapping \
--domain-name api.example.com \
--api-mapping-key v1 \
--api-id a1b2c3d4 \
--stage test
```
------
#### [ CloudFormation ]
以下 CloudFormation 示例会创建一个 API 映射。
```
MyApiMapping:
Type: 'AWS::ApiGatewayV2::ApiMapping'
Properties:
DomainName: api.example.com
ApiMappingKey: 'v1'
ApiId: !Ref MyApi
Stage: !Ref MyStage
```
------
# WebSocket API 的自定义域名的 IP 地址类型
当您创建自定义域名时,您指定可以调用域的 IP 地址的类型。可以选择 IPv4 以解析 IPv4 地址来调用域,也可以选择双堆栈以同时支持 IPv4 和 IPv6 地址调用域。我们建议您将 IP 地址类型设置为双堆栈,以缓解 IP 空间耗尽或保护您的安全状况。有关双堆栈 IP 地址类型的优势的更多信息,请参阅 [IPv6 on AWS](https://docs.aws.amazon.com/whitepapers/latest/ipv6-on-aws/internet-protocol-version-6.html)。
## IP 地址类型的注意事项
以下注意事项可能会影响您对 IP 地址类型的使用。
+ API Gateway 自定义域名的默认 IP 地址类型是 IPv4。
+ 对于映射到自定义域名的所有 API,自定义域名不需要具有相同的 IP 地址类型。如果您禁用默认 API 端点,则这可能会影响调用方调用 API 的方式。
## 更改自定义域名的 IP 地址类型
您可以通过更新域名的端点配置来更改 IP 地址类型。您可以使用 AWS 管理控制台、AWS CLI、CloudFormation 或 AWS SDK 更新端点配置。
------
#### [ AWS 管理控制台 ]
**更改自定义域名的 IP 地址类型**
1. 通过以下网址登录到 Amazon API Gateway 控制台:[https://console.aws.amazon.com/apigateway](https://console.aws.amazon.com/apigateway)。
1. 选择公有自定义域名。
1. 选择**端点配置**。
1. 对于 IP 地址类型,选择 **IPv4** 或**双堆栈**。
1. 选择**保存**。
------
#### [ AWS CLI ]
以下 [update-domain-name](https://docs.aws.amazon.com/cli/latest/reference/apigatewayv2/update-domain-name.html) 命令将 API 更新为具有双堆栈 IP 地址类型:
```
aws apigatewayv2 update-domain-name \
--domain-name dualstack.example.com \
--domain-name-configurations CertificateArn=arn:aws:acm:us-east-1:111122223333:certificate/abcd1234-5678-abc,IpAddressType=dualstack
```
输出将与以下内容类似:
```
{
"ApiMappingSelectionExpression": "$request.basepath",
"DomainName": "dualstack.example.com",
"DomainNameConfigurations": [
{
"ApiGatewayDomainName": "d-abcd1234.execute-api.us-east-1.amazonaws.com",
"CertificateArn": "arn:aws:acm:us-east-1:111122223333:certificate/abcd1234-5678-abc",
"DomainNameStatus": "AVAILABLE",
"EndpointType": "REGIONAL",
"HostedZoneId": "Z3LQWSYCGH4ADY",
"SecurityPolicy": "TLS_1_2",
"IpAddressType": "dualstack"
}
],
"Tags": {}
}
```
------
# 禁用 WebSocket API 的默认端点
默认情况下,客户端可以通过使用 API Gateway 为 API 生成的 `execute-api` 端点来调用您的 API。为确保客户端只能通过使用自定义域名访问您的 API,请禁用默认 `execute-api` 端点。禁用默认端点时,它会影响 API 的所有阶段。
以下过程说明了如何禁用 WebSocket API 的默认端点。
------
#### [ AWS 管理控制台 ]
1. 通过以下网址登录到 Amazon API Gateway 控制台:[https://console.aws.amazon.com/apigateway](https://console.aws.amazon.com/apigateway)。
1. 选择 WebSocket API。
1. 选择 **API 设置**。
1. 在 **API 详细信息**选项卡上,选择**编辑**。
1. 对于**默认端点**,选择**非活动**。
1. 选择 **Save changes(保存更改)**。
1. 在主导航窗格中,选择**路由**。
1. 选择**部署**,然后重新部署您的 API 或创建一个新阶段使更改生效。
------
#### [ AWS CLI ]
以下 [update-api](https://docs.aws.amazon.com/cli/latest/reference/apigatewayv2/update-api.html) 命令会禁用 WebSocket API 的默认端点。
```
aws apigatewayv2 update-api \
--api-id abcdef123 \
--disable-execute-api-endpoint
```
禁用默认端点后,必须部署 API 才能使更改生效。
以下 AWS CLI 命令会创建部署。
```
aws apigatewayv2 create-deployment \
--api-id abcdef123 \
--stage-name dev
```
------