Steuern und verwalten Sie den Zugriff auf REST-APIs in API Gateway

API Gateway unterstützt mehrere Mechanismen zur Steuerung und Verwaltung des Zugriffs auf Ihre API.

Sie können die folgenden Mechanismen für die Authentifizierung und Autorisierung verwenden:

• Mit Ressourcen-Richtlinien können Sie ressourcenbasierte Richtlinien erstellen, um Zugriff auf Ihre APIs und Methoden von angegeben Quell-IP-Adressen oder VPC-Endpunkten aus zu gewähren oder zu verweigern. Weitere Informationen finden Sie unter Steuern Sie den Zugriff auf eine REST API mit API Gateway-Ressourcenrichtlinien.

• AWS Standard-IAM-Rollen und -Richtlinien bieten flexible und robuste Zugriffskontrollen, die auf eine gesamte API oder einzelne Methoden angewendet werden können. IAM-Rollen und -Richtlinien können verwendet werden, um zu steuern, wer Ihre APIs erstellen und verwalten kann und wer sie aufrufen darf. Weitere Informationen finden Sie unter Steuern Sie den Zugriff auf eine REST API mit IAM Berechtigungen.

• IAM-Tags können zusammen mit IAM-Richtlinien verwendet werden, um den Zugriff zu steuern. Weitere Informationen finden Sie unter Tags zur Steuerung des Zugriffs auf API Gateway-REST-API-Ressourcen verwenden.

• Endpunktrichtlinien für Schnittstellen-VPC-Endpunkte ermöglichen Ihnen das Anfügen von IAM-Ressourcenrichtlinien an Schnittstellen-VPC-Endpunkte, um die Sicherheit Ihrer privaten APIs zu verbessern. Weitere Informationen finden Sie unter Verwenden Sie VPC Endpunktrichtlinien für private APIs Zwecke in API Gateway.

• Lambda-Genehmiger sind Lambda-Funktionen zur Steuerung des Zugriffs auf Ihre REST-API-Methoden unter Verwendung einer Bearer-Token-Authentifizierung sowie Informationen, die von Headern, Pfaden, Abfragezeichenfolgen, Stufenvariablen oder Kontextvariablen als Anfrageparameter beschrieben werden. Lambda-Genehmiger werden verwendet, um zu steuern, wer REST-API-Methoden aufrufen kann. Weitere Informationen finden Sie unter Verwenden Sie API Gateway Lambda-Autorisierer.

• Amazon Cognito-Benutzerpools ermöglichen Ihnen die Erstellung anpassbarer Authentifizierungs- und Autorisierungslösungen für Ihre REST-APIs. Amazon Cognito-Benutzerpools werden verwendet, um zu steuern, wer REST-API-Methoden aufrufen kann. Weitere Informationen finden Sie unter Steuern Sie den Zugriff auf REST-APIs mithilfe von Amazon Cognito Cognito-Benutzerpools als Autorisierer.

Sie können die folgenden Mechanismen verwenden, um andere Aufgaben im Zusammenhang mit der Zugriffssteuerung auszuführen:

• Mittels Cross-Origin Resource Sharing (CORS) können Sie steuern, wie Ihre REST-API auf Cross-Domain-Ressourcenanforderungen reagiert. Weitere Informationen finden Sie unter CORSfür REST APIs in API Gateway.

• Clientseitige SSL-Zertifikate können verwendet werden, um sicherzustellen, dass HTTP-Anfragen an Ihr Backend-System von API Gateway stammen. Weitere Informationen finden Sie unter Generieren und konfigurieren Sie ein SSL Zertifikat für die Backend-Authentifizierung in Gateway API.

• AWS WAF kann verwendet werden, um Ihre API-Gateway-API gegen häufige Web-Exploits zu schützen. Weitere Informationen finden Sie unter Verwenden Sie AWS WAF , um Ihre REST-APIs in API Gateway zu schützen.

Sie können die folgenden Mechanismen verwenden, um den Zugriff nachzuverfolgen und einzuschränken, den Sie autorisierten Clients gewährt haben:

• Mit Nutzungsplänen können Sie API-Schlüssel für Ihre Kunden bereitstellen und die Verwendung Ihrer API-Stufen und Methoden für jeden API-Schlüssel nachverfolgen und beschränken. Weitere Informationen finden Sie unter Nutzungspläne und API Schlüssel für REST APIs in API Gateway .