Politiche di sicurezza predefinite Politiche di sicurezza supportate per nomi di dominio regionali, privati e personalizzati APIs Politiche di sicurezza supportate per nomi di dominio personalizzati e ottimizzati per i dispositivi APIs periferici OpenSSL e nomi crittografia RFC

Politiche di sicurezza supportate

Le tabelle seguenti descrivono le politiche di sicurezza che possono essere specificate per ogni tipo di endpoint dell'API REST e tipo di nome di dominio personalizzato. Queste politiche consentono di controllare le connessioni in entrata. API Gateway supporta solo TLS 1.2 in uscita. Puoi aggiornare la politica di sicurezza per la tua API o il tuo nome di dominio personalizzato in qualsiasi momento.

Le politiche contenute FIPS nel titolo sono compatibili con il Federal Information Processing Standard (FIPS), uno standard governativo statunitense e canadese che specifica i requisiti di sicurezza per i moduli crittografici che proteggono le informazioni sensibili. Per ulteriori informazioni, consulta Federal Information Processing Standard (FIPS) 140 nella pagina AWS Cloud Security Compliance.

Tutte le politiche FIPS sfruttano il modulo crittografico convalidato FIPS AWS-LC. Per saperne di più, consulta la pagina del modulo crittografico AWS-LC sul sito del NIST Cryptographic Module Validation Program.

Le politiche contenute PQ nel titolo utilizzano la crittografia post-quantistica (PQC) per implementare algoritmi ibridi di scambio di chiavi per TLS per garantire la riservatezza del traffico contro le future minacce informatiche quantistiche.

Le politiche contenute PFS nel titolo utilizzano Perfect Forward Secrecy (PFS) per garantire che le chiavi di sessione non vengano compromesse.

Le politiche che le contengono entrambe FIPS e PQ nel loro titolo supportano entrambe queste funzionalità.

Politiche di sicurezza predefinite

Quando crei una nuova API REST o un dominio personalizzato, alla risorsa viene assegnata una politica di sicurezza predefinita. La tabella seguente mostra la politica di sicurezza predefinita per queste risorse.

Risorsa	Nome della politica di sicurezza predefinita
Regionale APIs	TLS_1_0
Ottimizzato per Edge APIs	TLS_1_0
Privato APIs	TLS_1_2
Dominio regionale	TLS_1_2
Dominio ottimizzato per Edge	TLS_1_2
Dominio privato	TLS_1_2

Politiche di sicurezza supportate per nomi di dominio regionali, privati e personalizzati APIs

La tabella seguente descrive le politiche di sicurezza che possono essere specificate per i nomi di dominio regionali, privati APIs e personalizzati:

Policy di sicurezza	Versioni TLS supportate	Cifre supportate
SecurityPolicy_ _1_3_2025_09 TLS13	TLS13.	TLS13. TLS_AES_128_GCM_ SHA256 TLS_AES_256_GCM_ SHA384 TLS_ 0_05_ CHACHA2 POLY13 SHA256
SecurityPolicy_ TLS13 _1_3_FIPS_2025_09	TLS13.	TLS13. TLS_AES_128_GCM_ SHA256 TLS_AES_256_GCM_ SHA384
SecurityPolicy_ _1_2_PFS_PQ_2025_09 TLS13	TLS13. TLS12.	TLS13. TLS_AES_128_GCM_ SHA256 TLS_AES_256_GCM_ SHA384 TLS_ 0_05_ CHACHA2 POLY13 SHA256 TLS12. TLS_AES_128_GCM_ SHA256 TLS_AES_256_GCM_ SHA384 ECDHE-ECDSA- -GCM- AES128 SHA256 ECDH-RSA- AES128 -GCM- SHA256 ECDHE-ECDSA- AES256 -GCM- SHA384 ECDH-RSA- AES256 -GCM- SHA384
SecurityPolicy_ TLS13 1_2_PQ_2025_09	TLS13. TLS12.	TLS13. TLS_AES_128_GCM_ SHA256 TLS_AES_256_GCM_ SHA384 TLS_ 0_05_ CHACHA2 POLY13 SHA256 TLS12. TLS_AES_128_GCM_ SHA256 TLS_AES_256_GCM_ SHA384 ECDHE-ECDSA- -GCM- AES128 SHA256 ECDH-RSA- AES128 -GCM- SHA256 ECDHE-ECSA AES128 - - SHA256 ECDHE-RSA- - AES128 SHA256 ECDHE-ECDSA- -GCM AES256 - SHA384 ECDH-RSA- AES256 -GCM- SHA384 ECDHE-ECSA AES256 - - SHA384 ECDHE-RSA- - AES256 SHA384 AES128-GCM- SHA256 AES128-SHA256 AES256-GCM- SHA384 AES256-SHA256
TLS_1_2	TLS13. TLS12.	TLS13. TLS_AES_128_GCM_ SHA256 TLS_AES_256_GCM_ SHA384 TLS_ 0_05_ CHACHA2 POLY13 SHA256 TLS12. ECDHE-ECDSA- -GCM- AES128 SHA256 ECDH-RSA- AES128 -GCM- SHA256 ECDHE-ECSA AES128 - - SHA256 ECDHE-RSA- - AES128 SHA256 ECDHE-ECDSA- -GCM AES256 - SHA384 ECDH-RSA- AES256 -GCM- SHA384 ECDHE-ECSA AES256 - - SHA384 ECDHE-RSA- - AES256 SHA384 AES128-GCM- SHA256 AES128-SHA256 AES256-GCM- SHA384 AES256-SHA256
TLS_1_0	TLS13. TLS12. TLS11. TLS10.	TLS13. TLS_AES_128_GCM_ SHA256 TLS_AES_256_GCM_ SHA384 TLS_ 0_05_ CHACHA2 POLY13 SHA256 TLS1.0- TLS1 2. ECDHE-ECDSA- -GCM- AES128 SHA256 ECDH-RSA- AES128 -GCM- SHA256 ECDHE-ECSA AES128 - - SHA256 ECDHE-RSA- - AES128 SHA256 ECDHE-ECDSA- AES128 -SHA ECDHE-RSA- -SHA AES128 ECDHE-ECDSA- AES256 -GCM- SHA384 ECDH-RSA- AES256 -GCM- SHA384 ECDHE-ECSA AES256 - - SHA384 ECDHE-RSA- - AES256 SHA384 ECDHE-ECDSA- AES256 -SHA ECDHE-RSA- -SHA AES256 AES128-GCM- SHA256 AES128-SHA256 AES128-SHA AES256-GCM- SHA384 AES256-SHA256 AES256-SHA

Politiche di sicurezza supportate per nomi di dominio personalizzati e ottimizzati per i dispositivi APIs periferici

La tabella seguente descrive le politiche di sicurezza che possono essere specificate per i nomi di dominio personalizzati ottimizzati per i bordi e ottimizzati APIs per i bordi:

Nome della politica di sicurezza	Versioni TLS supportate	Cifre supportate
SecurityPolicy_ _2025_EDGE TLS13	TLS13.	TLS13. TLS_AES_128_GCM_ SHA256 TLS_AES_256_GCM_ SHA384 TLS_ 0_05_ CHACHA2 POLY13 SHA256
SecurityPolicy_ TLS12 _PFS_2025_EDGE	TLS13. TLS12.	TLS13. TLS_AES_128_GCM_ SHA256 TLS_AES_256_GCM_ SHA384 TLS_ 0_05_ CHACHA2 POLY13 SHA256 TLS12. ECDHE-ECDSA- -GCM- AES128 SHA256 ECDHE-ECDSA- AES256 -GCM- SHA384 ECDHE-ECDSA CHACHA2 - 0-05 POLY13 ECDH-RSA- AES128 -GCM- SHA256 ECDHE-RSA- AES256 -GCM- SHA384 ECDHE-RSA CHACHA2 - 0-05 POLY13
SecurityPolicy_ 2018 TLS12 EDGE	TLS13. TLS12.	TLS13. TLS_AES_128_GCM_ SHA256 TLS_AES_256_GCM_ SHA384 TLS_ 0_05_ CHACHA2 POLY13 SHA256 TLS12. ECDHE-ECDSA- -GCM- AES128 SHA256 ECDHE-ECSA- - AES128 SHA256 ECDHE-ECDSA- -GCM- AES256 SHA384 ECDHE-ECDSA CHACHA2 - 0-05 POLY13 ECDHE-ECDSA- AES256 - SHA384 ECDH-RSA- -GCM- AES128 SHA256 ECDHE-RSA AES128 - - SHA256 ECDHE-RSA- -GCM AES256 - SHA384 ECDHE-RSA CHACHA2 - 0-05 POLY13 ECDHE-RSA AES256 - - SHA384
TLS_1_0	TLS13. TLS12. TLS11. TLS10.	TLS13. TLS_AES_128_GCM_ SHA256 TLS_AES_256_GCM_ SHA384 TLS_ 0_05_ CHACHA2 POLY13 SHA256 TLS1.0- TLS1 2. ECDHE-ECDSA- -GCM- AES128 SHA256 ECDH-RSA- AES128 -GCM- SHA256 ECDHE-ECSA AES128 - - SHA256 ECDHE-RSA- - AES128 SHA256 ECDHE-ECDSA- AES128 -SHA ECDHE-RSA- -SHA AES128 ECDHE-ECDSA- AES256 -GCM- SHA384 ECDH-RSA- AES256 -GCM- SHA384 ECDHE-ECSA AES256 - - SHA384 ECDHE-RSA- - AES256 SHA384 ECDHE-ECDSA- AES256 -SHA ECDHE-RSA- -SHA AES256 AES256-SHA256 AES256-SHA

OpenSSL e nomi crittografia RFC

OpenSSL e IETF RFC 5246 utilizzano nomi diversi per le stesse crittografie. La tabella seguente mappa il nome OpenSSL al nome RFC per ogni crittografia. Per ulteriori informazioni, consultare ciphers nella documentazione OpenSSL.

Nome crittografia OpenSSL	Nome crittografia RFC
TLS_AES_128_GCM_ SHA256	TLS_AES_128_GCM_ SHA256
TLS_AES_256_GCM_ SHA384	TLS_AES_256_GCM_ SHA384
TLS_ 0_05_ CHACHA2 POLY13 SHA256	TLS_ CHACHA2 POLY13 0_05_ SHA256
ECDHE-RSA- -GCM- AES128 SHA256	TLS_ECDHE_RSA_CON_AES_128_GCM_ SHA256
ECDHE-RSA- - AES128 SHA256	TLS_ECDHE_RSA_CON_AES_128_CBC_ SHA256
ECDHE-RSA- -SHA AES128	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
ECDHE-RSA- AES256 -GCM- SHA384	TLS_ECDHE_RSA_CON_AES_256_GCM_ SHA384
ECDHE-RSA- - AES256 SHA384	TLS_ECDHE_RSA_CON_AES_256_CBC_ SHA384
ECDHE-RSA- -SHA AES256	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
AES128-GCM- SHA256	TLS_RSA_CON_AES_128_GCM_ SHA256
AES256-GCM- SHA384	TLS_RSA_CON_AES_256_GCM_ SHA384
AES128-SHA256	TLS_RSA_CON_AES_128_CBC_ SHA256
AES256-SHA	TLS_RSA_WITH_AES_256_CBC_SHA
AES128-SHA	TLS_RSA_WITH_AES_128_CBC_SHA
DES- -SHA CBC3	TLS_RSA_WITH_3DES_EDE_CBC_SHA

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Policy di sicurezza

Come modificare una politica di sicurezza

Politiche di sicurezza supportate

Politiche di sicurezza predefinite

Politiche di sicurezza supportate per nomi di dominio regionali, privati e personalizzati APIs

TLS13.

TLS13.

TLS13.

TLS12.

TLS13.

TLS12.

TLS13.

TLS12.

TLS13.

TLS1.0- TLS1 2.

Politiche di sicurezza supportate per nomi di dominio personalizzati e ottimizzati per i dispositivi APIs periferici

TLS13.

TLS13.

TLS12.

TLS13.

TLS12.

TLS13.

TLS1.0- TLS1 2.

OpenSSL e nomi crittografia RFC