Politiques de sécurité par défaut Politiques de sécurité prises en charge pour les noms de domaine régionaux, privés APIs et personnalisés Politiques de sécurité prises en charge pour les noms de domaine personnalisés APIs et optimisés pour les périphériques Noms de chiffrement OpenSSL et RFC

Politiques de sécurité prises en charge

Les tableaux suivants décrivent les politiques de sécurité qui peuvent être spécifiées pour chaque type de point de terminaison d'API REST et chaque type de nom de domaine personnalisé. Ces politiques vous permettent de contrôler les connexions entrantes. API Gateway ne prend en charge le protocole TLS 1.2 qu'en sortie. Vous pouvez mettre à jour la politique de sécurité de votre API ou de votre nom de domaine personnalisé à tout moment.

Les politiques énoncées FIPS dans le titre sont compatibles avec le Federal Information Processing Standard (FIPS), qui est une norme gouvernementale américaine et canadienne qui spécifie les exigences de sécurité pour les modules cryptographiques qui protègent les informations sensibles. Pour en savoir plus, consultez la norme fédérale de traitement de l'information (FIPS) 140 sur la page Conformité à la sécurité du AWS cloud.

Toutes les politiques FIPS tirent parti du module cryptographique AWS-LC validé FIPS. Pour en savoir plus, consultez la page du module cryptographique AWS-LC sur le site du programme de validation du module cryptographique du NIST.

Les politiques énoncées PQ dans le titre utilisent la cryptographie post-quantique (PQC) pour implémenter des algorithmes hybrides d'échange de clés pour le TLS afin de garantir la confidentialité du trafic contre les futures menaces informatiques quantiques.

Les politiques énoncées PFS dans le titre utilisent le Perfect Forward Secrecy (PFS) pour garantir que les clés de session ne sont pas compromises.

Les politiques qui contiennent les deux FIPS et qui figurent PQ dans leur titre prennent en charge ces deux fonctionnalités.

Politiques de sécurité par défaut

Lorsque vous créez une nouvelle API REST ou un nouveau domaine personnalisé, une politique de sécurité par défaut est attribuée à la ressource. Le tableau suivant indique la politique de sécurité par défaut pour ces ressources.

Ressource	Nom de la politique de sécurité par défaut
Régional APIs	TLS_1_0
Optimisé pour les bords APIs	TLS_1_0
Privé APIs	TLS_1_2
Domaine régional	TLS_1_2
Domaine optimisé pour les périphériques	TLS_1_2
Domaine privé	TLS_1_2

Politiques de sécurité prises en charge pour les noms de domaine régionaux, privés APIs et personnalisés

Le tableau suivant décrit les politiques de sécurité qui peuvent être spécifiées pour les noms de domaine régionaux, privés APIs et personnalisés :

Politique de sécurité	Versions TLS prises en charge	Chiffrements pris en charge
SecurityPolicy_ TLS13 _1_3_2025_09	TLS13.	TLS13. TLS_AES_128_GCM_ SHA256 TLS_AES_256_GCM_ SHA384 TLS_ 0_ 05_ CHACHA2 POLY13 SHA256
SecurityPolicy_ TLS13 _1_3_FIPS_2025_09	TLS13.	TLS13. TLS_AES_128_GCM_ SHA256 TLS_AES_256_GCM_ SHA384
SecurityPolicy_ TLS13 _1_2_PFS_PQ_2025_09	TLS13. TLS12.	TLS13. TLS_AES_128_GCM_ SHA256 TLS_AES_256_GCM_ SHA384 TLS_ 0_ 05_ CHACHA2 POLY13 SHA256 TLS12. TLS_AES_128_GCM_ SHA256 TLS_AES_256_GCM_ SHA384 ECDHE-ECDSA- -GCM- AES128 SHA256 ECDHE-RSA- -GCM- AES128 SHA256 ECDHE-ECDSA- -GCM- AES256 SHA384 ECDHE-RSA- -GCM- AES256 SHA384
SecurityPolicy_ TLS13 _1_2_PQ_2025_09	TLS13. TLS12.	TLS13. TLS_AES_128_GCM_ SHA256 TLS_AES_256_GCM_ SHA384 TLS_ 0_ 05_ CHACHA2 POLY13 SHA256 TLS12. TLS_AES_128_GCM_ SHA256 TLS_AES_256_GCM_ SHA384 ECDHE-ECDSA- -GCM- AES128 SHA256 ECDHE-RSA- -GCM- AES128 SHA256 ECDHE-ECDSA- - AES128 SHA256 ECDHE-RSA- - AES128 SHA256 ECDHE-ECDSA- -GCM- AES256 SHA384 ECDHE-RSA- -GCM- AES256 SHA384 ECDHE-ECDSA- - AES256 SHA384 ECDHE-RSA- - AES256 SHA384 AES128-GCM- SHA256 AES128-SHA256 AES256-GCM- SHA384 AES256-SHA256
TLS_1_2	TLS13. TLS12.	TLS13. TLS_AES_128_GCM_ SHA256 TLS_AES_256_GCM_ SHA384 TLS_ 0_ 05_ CHACHA2 POLY13 SHA256 TLS12. ECDHE-ECDSA- -GCM- AES128 SHA256 ECDHE-RSA- -GCM- AES128 SHA256 ECDHE-ECDSA- - AES128 SHA256 ECDHE-RSA- - AES128 SHA256 ECDHE-ECDSA- -GCM- AES256 SHA384 ECDHE-RSA- -GCM- AES256 SHA384 ECDHE-ECDSA- - AES256 SHA384 ECDHE-RSA- - AES256 SHA384 AES128-GCM- SHA256 AES128-SHA256 AES256-GCM- SHA384 AES256-SHA256
TLS_1_0	TLS13. TLS12. TLS11. TLS10.	TLS13. TLS_AES_128_GCM_ SHA256 TLS_AES_256_GCM_ SHA384 TLS_ 0_ 05_ CHACHA2 POLY13 SHA256 TLS10,0-2. TLS1 ECDHE-ECDSA- -GCM- AES128 SHA256 ECDHE-RSA- -GCM- AES128 SHA256 ECDHE-ECDSA- - AES128 SHA256 ECDHE-RSA- - AES128 SHA256 ECDHE-ECDSA- -SHA AES128 ECDHE-RSA- -SHA AES128 ECDHE-ECDSA- -GCM- AES256 SHA384 ECDHE-RSA- -GCM- AES256 SHA384 ECDHE-ECDSA- - AES256 SHA384 ECDHE-RSA- - AES256 SHA384 ECDHE-ECDSA- -SHA AES256 ECDHE-RSA- -SHA AES256 AES128-GCM- SHA256 AES128-SHA256 AES128-SHA AES256-GCM- SHA384 AES256-SHA256 AES256-SHA

Politiques de sécurité prises en charge pour les noms de domaine personnalisés APIs et optimisés pour les périphériques

Le tableau suivant décrit les politiques de sécurité qui peuvent être spécifiées pour les noms de domaine personnalisés optimisés pour APIs les périphériques et pour les périphériques :

Nom de la politique de sécurité	Versions TLS prises en charge	Chiffrements pris en charge
SecurityPolicy_ TLS13 _2025_EDGE	TLS13.	TLS13. TLS_AES_128_GCM_ SHA256 TLS_AES_256_GCM_ SHA384 TLS_ 0_ 05_ CHACHA2 POLY13 SHA256
SecurityPolicy_ TLS12 _PFS_2025_EDGE	TLS13. TLS12.	TLS13. TLS_AES_128_GCM_ SHA256 TLS_AES_256_GCM_ SHA384 TLS_ 0_ 05_ CHACHA2 POLY13 SHA256 TLS12. ECDHE-ECDSA- -GCM- AES128 SHA256 ECDHE-ECDSA- -GCM- AES256 SHA384 ECDHE-ECDSA- 0- 05 CHACHA2 POLY13 ECDHE-RSA- -GCM- AES128 SHA256 ECDHE-RSA- -GCM- AES256 SHA384 ECDHE-RSA- 0- 05 CHACHA2 POLY13
SecurityPolicy_ TLS12 _2018_EDGE	TLS13. TLS12.	TLS13. TLS_AES_128_GCM_ SHA256 TLS_AES_256_GCM_ SHA384 TLS_ 0_ 05_ CHACHA2 POLY13 SHA256 TLS12. ECDHE-ECDSA- -GCM- AES128 SHA256 ECDHE-ECDSA- - AES128 SHA256 ECDHE-ECDSA- -GCM- AES256 SHA384 ECDHE-ECDSA- 0- 05 CHACHA2 POLY13 ECDHE-ECDSA- - AES256 SHA384 ECDHE-RSA- -GCM- AES128 SHA256 ECDHE-RSA- - AES128 SHA256 ECDHE-RSA- -GCM- AES256 SHA384 ECDHE-RSA- 0- 05 CHACHA2 POLY13 ECDHE-RSA- - AES256 SHA384
TLS_1_0	TLS13. TLS12. TLS11. TLS10.	TLS13. TLS_AES_128_GCM_ SHA256 TLS_AES_256_GCM_ SHA384 TLS_ 0_ 05_ CHACHA2 POLY13 SHA256 TLS10,0-2. TLS1 ECDHE-ECDSA- -GCM- AES128 SHA256 ECDHE-RSA- -GCM- AES128 SHA256 ECDHE-ECDSA- - AES128 SHA256 ECDHE-RSA- - AES128 SHA256 ECDHE-ECDSA- -SHA AES128 ECDHE-RSA- -SHA AES128 ECDHE-ECDSA- -GCM- AES256 SHA384 ECDHE-RSA- -GCM- AES256 SHA384 ECDHE-ECDSA- - AES256 SHA384 ECDHE-RSA- - AES256 SHA384 ECDHE-ECDSA- -SHA AES256 ECDHE-RSA- -SHA AES256 AES256-SHA256 AES256-SHA

Noms de chiffrement OpenSSL et RFC

OpenSSL et IETF RFC 5246 utilisent des noms différents pour les mêmes chiffrements. Le tableau suivant met en correspondance le nom OpenSSL et le nom RFC pour chaque chiffrement. Pour plus d’informations, consultez ciphers dans la documentation OpenSSL.

Nom de chiffrement OpenSSL	Nom de chiffrement RFC
TLS_AES_128_GCM_ SHA256	TLS_AES_128_GCM_ SHA256
TLS_AES_256_GCM_ SHA384	TLS_AES_256_GCM_ SHA384
TLS_ 0_ 05_ CHACHA2 POLY13 SHA256	TLS_ 0_ 05_ CHACHA2 POLY13 SHA256
ECDHE-RSA- -GCM- AES128 SHA256	TLS_ECDHE_RSA_WITH_AES_128_GCM_ SHA256
ECDHE-RSA- - AES128 SHA256	TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA256
ECDHE-RSA- -SHA AES128	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
ECDHE-RSA- -GCM- AES256 SHA384	TLS_ECDHE_RSA_WITH_AES_256_GCM_ SHA384
ECDHE-RSA- - AES256 SHA384	TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA384
ECDHE-RSA- -SHA AES256	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
AES128-GCM- SHA256	TLS_RSA_WITH_AES_128_GCM_ SHA256
AES256-GCM- SHA384	TLS_RSA_WITH_AES_256_GCM_ SHA384
AES128-SHA256	TLS_RSA_WITH_AES_128_CBC_ SHA256
AES256-SHA	TLS_RSA_WITH_AES_256_CBC_SHA
AES128-SHA	TLS_RSA_WITH_AES_128_CBC_SHA
CBC3DES-SHA	TLS_RSA_WITH_3DES_EDE_CBC_SHA

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Stratégies de sécurité

Comment modifier une politique de sécurité

Politiques de sécurité prises en charge

Politiques de sécurité par défaut

Politiques de sécurité prises en charge pour les noms de domaine régionaux, privés APIs et personnalisés

TLS13.

TLS13.

TLS13.

TLS12.

TLS13.

TLS12.

TLS13.

TLS12.

TLS13.

TLS10,0-2. TLS1

Politiques de sécurité prises en charge pour les noms de domaine personnalisés APIs et optimisés pour les périphériques

TLS13.

TLS13.

TLS12.

TLS13.

TLS12.

TLS13.

TLS10,0-2. TLS1

Noms de chiffrement OpenSSL et RFC