Zugriff auf eine REST-API in API Gateway steuern und verwalten
API Gateway unterstützt mehrere Mechanismen zur Steuerung und Verwaltung des Zugriffs auf Ihre API.
Sie können die folgenden Mechanismen für die Authentifizierung und Autorisierung verwenden:
-
Mit Ressourcen-Richtlinien können Sie ressourcenbasierte Richtlinien erstellen, um Zugriff auf Ihre APIs und Methoden von angegeben Quell-IP-Adressen oder VPC-Endpunkten aus zu gewähren oder zu verweigern. Weitere Informationen finden Sie unter Zugriff auf eine API mit API Gateway-Ressourcenrichtlinien steuern.
-
Die standardmäßigen AWS-IAM-Rollen und -Richtlinien bieten flexible und robuste Zugriffskontrollen, die auf eine gesamte API oder einzelne Methoden angewendet werden können. IAM-Rollen und -Richtlinien können verwendet werden, um zu steuern, wer Ihre APIs erstellen und verwalten kann und wer sie aufrufen darf. Weitere Informationen finden Sie unter Kontrollieren des Zugriffs auf eine API mit IAM-Berechtigungen.
-
IAM-Tags können zusammen mit IAM-Richtlinien verwendet werden, um den Zugriff zu steuern. Weitere Informationen finden Sie unter Tags zur Steuerung des Zugriffs auf API Gateway-Ressourcen verwenden.
-
Endpunktrichtlinien für Schnittstellen-VPC-Endpunkte ermöglichen Ihnen das Anfügen von IAM-Ressourcenrichtlinien an Schnittstellen-VPC-Endpunkte, um die Sicherheit Ihrer privaten APIs zu verbessern. Weitere Informationen finden Sie unter VPC-Endpunktrichtlinien für private APIs in API Gateway verwenden.
-
Lambda-Genehmiger sind Lambda-Funktionen zur Steuerung des Zugriffs auf Ihre REST-API-Methoden unter Verwendung einer Bearer-Token-Authentifizierung sowie Informationen, die von Headern, Pfaden, Abfragezeichenfolgen, Stufenvariablen oder Kontextvariablen als Anfrageparameter beschrieben werden. Lambda-Genehmiger werden verwendet, um zu steuern, wer REST-API-Methoden aufrufen kann. Weitere Informationen finden Sie unter API Gateway-Lambda-Genehmiger verwenden.
-
Amazon Cognito-Benutzerpools ermöglichen Ihnen die Erstellung anpassbarer Authentifizierungs- und Autorisierungslösungen für Ihre REST-APIs. Amazon Cognito-Benutzerpools werden verwendet, um zu steuern, wer REST-API-Methoden aufrufen kann. Weitere Informationen finden Sie unter Zugriff auf eine REST-API mit Amazon Cognito-Benutzerpools als Genehmiger steuern.
Sie können die folgenden Mechanismen verwenden, um andere Aufgaben im Zusammenhang mit der Zugriffssteuerung auszuführen:
-
Mittels Cross-Origin Resource Sharing (CORS) können Sie steuern, wie Ihre REST-API auf Cross-Domain-Ressourcenanforderungen reagiert. Weitere Informationen finden Sie unter Aktivieren von CORS für eine REST-API-Ressource.
-
Clientseitige SSL-Zertifikate können verwendet werden, um sicherzustellen, dass HTTP-Anfragen an Ihr Backend-System von API Gateway stammen. Weitere Informationen finden Sie unter Erstellen und Konfigurieren eines SSL-Zertifikats für die Backend-Authentifizierung.
-
AWS WAF kann verwendet werden, um Ihre API-Gateway-API gegen häufige Web-Exploits zu schützen. Weitere Informationen finden Sie unter Verwenden von AWS WAF zum Schutz Ihrer APIs.
Sie können die folgenden Mechanismen verwenden, um den Zugriff nachzuverfolgen und einzuschränken, den Sie autorisierten Clients gewährt haben:
-
Mit Nutzungsplänen können Sie API-Schlüssel für Ihre Kunden bereitstellen und die Verwendung Ihrer API-Stufen und Methoden für jeden API-Schlüssel nachverfolgen und beschränken. Weitere Informationen finden Sie unter Erstellen und Verwenden von Nutzungsplänen mit API-Schlüsseln.