API 參考 - Amazon API Gateway
API Gateway 服務端點在 IAM 原則中使用 IPv6 地址

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

API 參考

Amazon API Gateway 提供的 API 可用來建立並部署您自己的 HTTP 和 WebSocket API。此外,API Gateway APIs可在 AWS SDKs中使用。

如果您使用的是 AWS SDK 存在的語言,您可能偏好使用 SDK,而不是直接使用 API Gateway REST APIs。軟體開發套件可簡化身分驗證、與您的開發環境輕鬆整合,並可輕鬆存取 API Gateway 命令。

以下是可找到 AWS SDKs和 API Gateway REST API 參考文件的位置:

API Gateway 服務端點

端點是做為 AWS Web 服務進入點的 URL。API Gateway 支援下列端點類型:

當您提出請求時,您可以指定要使用的端點。如果您沒有指定端點,則預設使用 IPv4 端點。若要使用不同的端點類型,您必須在請求中將其指定。如需如何執行此作業的範例,請參閱 指定端點。如需可用端點的資料表,請參閱 Amazon API Gateway 端點

IPv4 端點

IPv4 端點僅支援 IPv4 流量。IPv4 端點適用於所有區域。

如果您指定一般端點、apigateway.amazonaws.com,我們會使用 us-east-1 的端點。若要使用不同的區域,請指定其相關聯的端點。例如,如果您指定 apigateway.us-east-2.amazonaws.com 做為端點,我們會將您的請求導向 us-east-2 端點。

IPv4 端點名稱使用以下命名慣例:

  • apigateway.region.amazonaws.com

例如,eu-west-1 區域的 IPv4 端點名稱是 apigateway.eu-west-1.amazonaws.com

Dualstack (IPv4 和 IPv6) 端點

雙堆疊端點支援 IPv4 和 IPv6 流量。當您向雙堆疊端點提出請求時,端點 URL 會解析為 IPv6 或 IPv4 地址,視網路和用戶端使用的通訊協定而定。

雙堆疊端點名稱使用以下命名慣例:

  • apigateway.region.api.aws

例如,eu-west-1 區域的雙堆疊端點名稱是 apigateway.eu-west-1.api.aws

指定端點

下列範例示範如何使用適用於 的 AWS CLI 指定 us-east-2區域的端點apigateway

  • 雙堆疊

    aws apigateway get-rest-apis --region us-east-2 --endpoint-url https://apigateway.us-east-2.api.aws

  • IPv4

    aws apigateway get-rest-apis --region us-east-2 --endpoint-url https://apigateway.us-east-2.amazonaws.com

下列範例示範如何使用適用於 的 AWS CLI 指定 us-east-2區域的端點apigatewayv2

  • 雙堆疊

    aws apigatewayv2 get-apis --region us-east-2 --endpoint-url https://apigateway.us-east-2.api.aws

  • IPv4

    aws apigatewayv2 get-apis --region us-east-2 --endpoint-url https://apigateway.us-east-2.amazonaws.com

在 IAM 原則中使用 IPv6 地址

如果您使用任何 IAM 使用者政策或 API Gateway 資源政策來控制對 API Gateway 或任何 API Gateway APIs存取,請確認您的政策已更新為包含 IPv6 地址範圍。當用戶端開始使用雙堆疊端點時,未更新以處理 IPv6 地址的政策可能會影響用戶端對 API Gateway 的存取。如需使用 IAM 管理存取許可的詳細資訊,請參閱 適用於 Amazon API Gateway 的 Identity and Access Management

篩選 IP 地址的 IAM 原則使用IP 地址條件運算子。下列身分政策允許 54.240.143.* 範圍內的 IP 地址取得識別符為 的 HTTP 或 WebSocket API 所有資源的相關資訊a123456789。超出此範圍的任何 IP 地址都將被拒絕存取 API 中所有資源的相關資訊。由於所有 IPv6 地址都在允許的範圍之外,此政策可防止 IPv6 地址存取 API 的相關資訊。

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "apigateway:GET",
      "Resource": "arn:aws:apigateway:us-east-1::/apis/a123456789/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"}
      } 
    } 
  ]
}

您可以修改 API 政策的 Condition元素,以允許 IPv4 (54.240.143.0/24) 和 IPv6 (2001:DB8:1234:5678::/64) 地址範圍,如下列範例所示。您可以使用範例中顯示的相同類型Condition區塊來更新 IAM 使用者政策和 API Gateway 資源政策。

       "Condition": {
         "IpAddress": {
            "aws:SourceIp": [
              "54.240.143.0/24",
               "2001:DB8:1234:5678::/64"
             ]
          }
        }