Zugriff auf eine REST-API in API Gateway steuern und verwalten - Amazon API Gateway

Zugriff auf eine REST-API in API Gateway steuern und verwalten

API Gateway unterstützt mehrere Mechanismen zur Steuerung und Verwaltung des Zugriffs auf Ihre API.

Sie können die folgenden Mechanismen für die Authentifizierung und Autorisierung verwenden:

  • Mit Ressourcen-Richtlinien können Sie ressourcenbasierte Richtlinien erstellen, um Zugriff auf Ihre APIs und Methoden von angegeben Quell-IP-Adressen oder VPC-Endpunkten aus zu gewähren oder zu verweigern. Weitere Informationen finden Sie unter Zugriff auf eine API mit API Gateway-Ressourcenrichtlinien steuern.

  • Die standardmäßigen AWS-IAM-Rollen und -Richtlinien bieten flexible und robuste Zugriffskontrollen, die auf eine gesamte API oder einzelne Methoden angewendet werden können. IAM-Rollen und -Richtlinien können verwendet werden, um zu steuern, wer Ihre APIs erstellen und verwalten kann und wer sie aufrufen darf. Weitere Informationen finden Sie unter Kontrollieren des Zugriffs auf eine API mit IAM-Berechtigungen.

  • IAM-Tags können zusammen mit IAM-Richtlinien verwendet werden, um den Zugriff zu steuern. Weitere Informationen finden Sie unter Tags zur Steuerung des Zugriffs auf API Gateway-REST-API-Ressourcen verwenden.

  • Endpunktrichtlinien für Schnittstellen-VPC-Endpunkte ermöglichen Ihnen das Anfügen von IAM-Ressourcenrichtlinien an Schnittstellen-VPC-Endpunkte, um die Sicherheit Ihrer privaten APIs zu verbessern. Weitere Informationen finden Sie unter VPC-Endpunktrichtlinien für private APIs in API Gateway verwenden.

  • Lambda-Genehmiger sind Lambda-Funktionen zur Steuerung des Zugriffs auf Ihre REST-API-Methoden unter Verwendung einer Bearer-Token-Authentifizierung sowie Informationen, die von Headern, Pfaden, Abfragezeichenfolgen, Stufenvariablen oder Kontextvariablen als Anfrageparameter beschrieben werden. Lambda-Genehmiger werden verwendet, um zu steuern, wer REST-API-Methoden aufrufen kann. Weitere Informationen finden Sie unter API Gateway-Lambda-Genehmiger verwenden.

  • Amazon Cognito-Benutzerpools ermöglichen Ihnen die Erstellung anpassbarer Authentifizierungs- und Autorisierungslösungen für Ihre REST-APIs. Amazon Cognito-Benutzerpools werden verwendet, um zu steuern, wer REST-API-Methoden aufrufen kann. Weitere Informationen finden Sie unter Zugriff auf eine REST-API mit Amazon Cognito-Benutzerpools als Genehmiger steuern.

Sie können die folgenden Mechanismen verwenden, um andere Aufgaben im Zusammenhang mit der Zugriffssteuerung auszuführen:

Sie können die folgenden Mechanismen verwenden, um den Zugriff nachzuverfolgen und einzuschränken, den Sie autorisierten Clients gewährt haben: