# Control y administración del acceso a las API de REST en API Gateway API Gateway admite varios mecanismos para controlar y administrar el acceso a la API. Puede utilizar os siguientes mecanismos para realizar la autenticación y autorización: + Gracias a las **políticas de recursos**, puede crear políticas basadas en recursos para permitir o denegar el acceso a sus API y métodos desde determinadas direcciones IP de origen o determinados puntos de enlace de la VPC. Para obtener más información, consulte [Control del acceso a una API de REST con políticas de recursos de API Gateway](apigateway-resource-policies.md). + **Los roles y las políticas estándar de AWS IAM** ofrecen controles de acceso flexibles y robustos que se pueden aplicar a toda una API o a métodos individuales. Puede usar roles y políticas de IAM para controlar quién puede crear y administrar sus API, así como quién puede invocarlas. Para obtener más información, consulte [Control del acceso a una API de REST con permisos de IAM](permissions.md). + Las **etiquetas de IAM** se pueden utilizar con políticas de IAM para controlar el acceso. Para obtener más información, consulte [Uso de etiquetas para controlar el acceso a los recursos API de REST de API Gateway](apigateway-tagging-iam-policy.md). + Las **políticas de punto de enlace para los puntos de enlace de la VPC de interfaz** le permiten asociar las políticas de recursos de IAM a puntos de enlace de interfaz de la VPC para mejorar la seguridad de sus [API privadas](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-private-apis.html). Para obtener más información, consulte [Uso de políticas de punto de conexión de VPC para API privadas en API Gateway](apigateway-vpc-endpoint-policies.md). + Los **autorizadores Lambda** son funciones de Lambda que controlan el acceso a los métodos de la API REST utilizando la autenticación de token al portador, así como la información descrita por los encabezados, rutas, cadenas de consulta, variables de etapa o parámetros de solicitud de variables contextuales. Los autorizadores Lambda se utilizan para controlar quién puede invocar los métodos REST API. Para obtener más información, consulte [Uso de autorizadores Lambda de API Gateway](apigateway-use-lambda-authorizer.md). + Los **grupos de usuarios de Amazon Cognito** permiten crear soluciones personalizables de autenticación y autorización para las API REST. Los grupos de usuarios de Amazon Cognito se utilizan para controlar quién puede invocar los métodos de la API REST. Para obtener más información, consulte [Control del acceso a las API de REST con grupos de usuarios de Amazon Cognito como autorizador](apigateway-integrate-with-cognito.md). Puede utilizar los siguientes mecanismos para realizar otras tareas relacionadas con el control de acceso: + El **uso compartido de recursos entre orígenes (CORS)** permite controlar la forma en que la API REST responde a las solicitudes de recursos entre dominios. Para obtener más información, consulte [CORS para las API de REST en API Gateway](how-to-cors.md). + Los **certificados SSL del lado del cliente** pueden utilizarse para verificar que las solicitudes HTTP dirigidas a su sistema backend proceden de API Gateway. Para obtener más información, consulte [Generación y configuración de un certificado SSL para la autenticación de backend en API Gateway](getting-started-client-side-ssl-authentication.md). + **AWS WAF** se puede utilizar para proteger la API de API Gateway frente a ataques web comunes. Para obtener más información, consulte [Uso de AWS WAF para proteger sus API de REST en API Gateway](apigateway-control-access-aws-waf.md). Puede utilizar los siguientes mecanismos para rastrear y limitar el acceso concedido a los clientes autorizados: + Los **planes de uso** permiten proporcionar **claves de API** a sus clientes y, después, realizar un seguimiento y limitar el uso de etapas y métodos de API para cada clave de API. Para obtener más información, consulte [Planes de uso y clave de API para las API de REST en API Gateway](api-gateway-api-usage-plans.md).