Sicherheitsrichtlinien für REST APIs in API Gateway - Amazon API Gateway
Wie API Gateway Sicherheitsrichtlinien anwendetEndpunktzugriffsmodusÜberlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheitsrichtlinien für REST APIs in API Gateway

Eine Sicherheitsrichtlinie ist eine vordefinierte Kombination aus einer minimalen TLS-Version und Verschlüsselungssuites, die von API Gateway angeboten werden. Wenn Ihre Kunden einen TLS-Handshake für Ihre API oder Ihren benutzerdefinierten Domainnamen einrichten, erzwingt die Sicherheitsrichtlinie die von API Gateway akzeptierte TLS-Version und Cipher Suite. Sicherheitsrichtlinien schützen Ihre APIs und benutzerdefinierte Domainnamen vor Netzwerksicherheitsproblemen wie Manipulation und Abhören zwischen einem Client und einem Server.

API Gateway unterstützt ältere Sicherheitsrichtlinien und erweiterte Sicherheitsrichtlinien. TLS_1_0und TLS_1_2 sind veraltete Sicherheitsrichtlinien. Verwenden Sie diese Sicherheitsrichtlinien aus Gründen der Abwärtskompatibilität. Jede Richtlinie, die mit beginnt, SecurityPolicy_ ist eine erweiterte Sicherheitsrichtlinie. Verwenden Sie diese Richtlinien für regulierte Workloads, erweiterte Steuerung oder für die Verwendung von Post-Quantum-Kryptografie. Wenn Sie eine erweiterte Sicherheitsrichtlinie verwenden, müssen Sie auch den Endpunktzugriffsmodus für zusätzliche Steuerung festlegen. Weitere Informationen finden Sie unter Endpunktzugriffsmodus.

Wie API Gateway Sicherheitsrichtlinien anwendet

Das folgende Beispiel zeigt am Beispiel der Sicherheitsrichtlinie, wie API Gateway SecurityPolicy_TLS13_1_3_2025_09 Sicherheitsrichtlinien anwendet.

Die SecurityPolicy_TLS13_1_3_2025_09 Sicherheitsrichtlinie akzeptiert TLS 1.3-Verkehr und lehnt TLS 1.2- und TLS 1.0-Verkehr ab. Für TLS 1.3-Verkehr akzeptiert die Sicherheitsrichtlinie die folgenden Verschlüsselungssammlungen:

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

API Gateway akzeptiert keine anderen Cipher Suites. Zum Beispiel würde die Sicherheitsrichtlinie jeglichen TLS 1.3-Verkehr ablehnen, der die AES128-SHA Cipher Suite verwendet. Weitere Informationen zu den unterstützten TLS-Versionen und Chiffren finden Sie unter. Unterstützte Sicherheitsrichtlinien

Um zu überwachen, welches TLS-Protokoll und welche Chiffren Clients für den Zugriff auf Ihr API Gateway verwendet haben, können Sie die $context.cipherSuite Kontextvariablen $context.tlsVersion und in Ihren Zugriffsprotokollen verwenden. Weitere Informationen finden Sie unter REST APIs in API Gateway überwachen.

Endpunktzugriffsmodus

Der Endpunktzugriffsmodus ist ein zusätzlicher Parameter, den Sie für jede REST-API oder jeden benutzerdefinierten Domainnamen angeben müssen, der eine erweiterte Sicherheitsrichtlinie verwendet, die mit beginntSecurityPolicy_. Sie tun dies, wenn Sie Ihre Ressource erstellen oder wenn Sie die Sicherheitsrichtlinie von einer älteren Richtlinie in eine erweiterte Richtlinie ändern.

Wenn der Endpunktzugriffsmodus auf eingestellt istSTRICT, müssen alle Anfragen an Ihre REST-API oder Ihren benutzerdefinierten Domainnamen die folgenden Prüfungen bestehen:

  • Die Anfrage muss vom gleichen API-Gateway-Endpunkttyp stammen wie Ihre Ressource. Dies kann von einem regionalen, einem Edge-optimierten oder einem privaten Endpunkt stammen.

  • Wenn Sie einen regionalen oder privaten Endpunkt verwenden, verwendet API Gateway den SNI-Hostabgleich. Wenn Sie einen Edge-optimierten Endpunkt verwenden, entspricht API Gateway dem CloudFront Domain-Front-Schutz. Weitere Informationen finden Sie unter Domain-Fronting.

Wenn eine dieser Bedingungen nicht erfüllt ist, lehnt API Gateway die Anfrage ab. Wir empfehlen, wenn möglich den STRICT Endpunktzugriffsmodus zu verwenden.

Um einen vorhandenen API- oder Domainnamen zur Verwendung des strikten Endpunktzugriffsmodus zu migrieren, aktualisieren Sie zunächst Ihre Sicherheitsrichtlinie auf eine erweiterte Sicherheitsrichtlinie und lassen Sie den Endpunktzugriffsmodus auf eingestelltBASIC. Nachdem Sie Ihre Datenverkehrs- und Zugriffsprotokolle überprüft haben, stellen Sie den Endpunktzugriffsmodus auf einSTRICT. Wenn Sie den Endpunktzugriffsmodus von STRICT zu migrierenBASIC, ist Ihr Endpunkt etwa 15 Minuten lang nicht verfügbar, da die Änderungen übernommen werden.

Sie sollten den Endpunktzugriffsmodus STRICT für bestimmte Anwendungsarchitekturen nicht auf einstellen, sondern den Endpunktzugriffsmodus auf. BASIC Die folgende Tabelle zeigt einige Anwendungsarchitekturen und eine Empfehlung, damit Ihre REST-API oder Ihr benutzerdefinierter Domainname den STRICT Endpunktzugriffsmodus verwenden kann.

Architektur Vorgeschlagene Migration

Verwenden eines VPC-Endpunkts für den Zugriff auf einen öffentlichen benutzerdefinierten Domainnamen.

Diese Architektur verwendet endpunktübergreifenden Datenverkehr. Wir empfehlen Ihnen, zu zu Benutzerdefinierte Domainnamen für private Zwecke APIs in API Gateway migrieren.

Verwenden Sie eine beliebige Methode, um eine private API aufzurufen, die keinen benutzerdefinierten Domainnamen oder private DNS-Namen verwendet.

Diese Architektur führt zu einer Diskrepanz zwischen dem Host-Header und dem im TLS-Handshake verwendeten SNI und überwindet die Domain-Front-Einschränkungen CloudFront nicht. Wir empfehlen Ihnen, Ihre VPC zur Verwendung von privatem DNS zu migrieren.

Verwenden Sie Domain-Sharding, um Inhalte auf mehrere Domains oder Subdomains zu verteilen.

Diese Architektur führt zu einer Diskrepanz zwischen dem Host-Header und dem im TLS-Handshake verwendeten SNI und CloudFront überwindet die Domain-Front-Einschränkungen nicht. Wir empfehlen, dieses Anti-Pattern zu verwenden HTTP/2 und es zu entfernen.

Im Folgenden finden Sie Überlegungen zur Verwendung des Endpunktzugriffsmodus:

  • Wenn der Endpunktzugriffsmodus einer API oder eines Domainnamens lautetSTRICT, können Sie den Endpunkttyp nicht ändern. Um den Endpunkttyp zu ändern, ändern Sie zunächst den Endpunktzugriffsmodus aufBASIC.

  • Nachdem Sie den Endpunktzugriffsmodus von BASIC auf geändert habenSTRICT, gibt es eine Verzögerung von 15 Minuten, bis API Gateway den strikten Endpunktzugriffsmodus erzwingt.

  • Wenn Sie eine Sicherheitsrichtlinie von einer Richtlinie, die mit beginnt, SecurityPolicy_ zu einer älteren Richtlinie ändern, müssen Sie den Endpunktzugriffsmodus auf "" deaktivieren.

Überlegungen

Im Folgenden finden Sie Überlegungen zu Sicherheitsrichtlinien für REST APIs in API Gateway:

  • Sie können die Sicherheitsrichtlinie in eine OpenAPI-Definitionsdatei importieren. Weitere Informationen finden Sie unter x-amazon-apigateway-endpoint-Zugriffsmodus.

  • Ihre API kann einem benutzerdefinierten Domainnamen mit einer anderen Sicherheitsrichtlinie als Ihrer API zugeordnet werden. Wenn Sie diesen benutzerdefinierten Domainnamen aufrufen, verwendet API Gateway die Sicherheitsrichtlinie der API, um den TLS-Handshake auszuhandeln. Wenn Sie Ihren Standard-API-Endpunkt deaktivieren, kann dies die Art und Weise beeinflussen, wie Aufrufer Ihre API aufrufen können.

  • Wenn Sie Ihre Sicherheitsrichtlinie ändern, dauert es etwa 15 Minuten, bis das Update abgeschlossen ist. Sie können die apiStatus Ihrer API überwachen. Wenn Ihre API aktualisiert wird, apiStatus ist sie UPDATING und wenn sie abgeschlossen ist, wird sie es auch seinAVAILABLE. Wenn Ihr API-Status lautetUPDATING, können Sie ihn trotzdem aufrufen.

  • API Gateway unterstützt Sicherheitsrichtlinien für alle APIs. Sie können jedoch nur eine Sicherheitsrichtlinie für REST auswählen APIs. API Gateway unterstützt nur die TLS_1_2 Sicherheitsrichtlinie für HTTP oder WebSocket APIs.

  • Sie können die Sicherheitsrichtlinie für eine API nicht von TLS_1_0 bis aktualisierenTLS_1_2.

  • Einige Sicherheitsrichtlinien unterstützen sowohl ECDSA- als auch RSA-Cipher Suites. Wenn Sie diese Art von Richtlinie mit einem benutzerdefinierten Domänennamen verwenden, entsprechen die Cipher Suites dem vom Kunden bereitgestellten Zertifikatsschlüsseltyp, entweder RSA oder ECDSA. Wenn Sie diesen Richtlinientyp mit einer REST-API verwenden, entsprechen die Cipher Suites den Cipher Suites, die mit RSA-Zertifikatstypen kompatibel sind.