Steuern und verwalten Sie den Zugriff auf REST APIs in API Gateway

API Gateway unterstützt mehrere Mechanismen zur Steuerung und Verwaltung des Zugriffs auf Ihre API.

Sie können die folgenden Mechanismen für die Authentifizierung und Autorisierung verwenden:

• Mit Ressourcenrichtlinien können Sie ressourcenbasierte Richtlinien erstellen, um den Zugriff auf Ihre APIs und Methoden von bestimmten Quell-IP-Adressen oder VPC-Endpunkten aus zu erlauben oder zu verweigern. Weitere Informationen finden Sie unter Zugriff auf eine REST-API mit API Gateway-Ressourcenrichtlinien steuern.

• AWS Standard-IAM-Rollen und -Richtlinien bieten flexible und robuste Zugriffskontrollen, die auf eine gesamte API oder einzelne Methoden angewendet werden können. Mithilfe von IAM-Rollen und -Richtlinien können Sie steuern, wer Ihre APIs erstellen und verwalten darf und wer sie aufrufen kann. Weitere Informationen finden Sie unter Zugriffskontrolle für eine API mit IAM-Berechtigungen.

• IAM-Tags können zusammen mit IAM-Richtlinien verwendet werden, um den Zugriff zu steuern. Weitere Informationen finden Sie unter Tags zur Steuerung des Zugriffs auf API Gateway-REST-API-Ressourcen verwenden.

• Endpunktrichtlinien für Schnittstellen-VPC-Endpunkte ermöglichen es Ihnen, IAM-Ressourcenrichtlinien an VPC-Schnittstellen-Endpunkte anzuhängen, um die Sicherheit Ihrer privaten Geräte zu verbessern. APIs Weitere Informationen finden Sie unter Verwenden Sie VPC-Endpunktrichtlinien für private Zwecke APIs in API Gateway.

• Lambda-Genehmiger sind Lambda-Funktionen zur Steuerung des Zugriffs auf Ihre REST-API-Methoden unter Verwendung einer Bearer-Token-Authentifizierung sowie Informationen, die von Headern, Pfaden, Abfragezeichenfolgen, Stufenvariablen oder Kontextvariablen als Anfrageparameter beschrieben werden. Lambda-Genehmiger werden verwendet, um zu steuern, wer REST-API-Methoden aufrufen kann. Weitere Informationen finden Sie unter API Gateway-Lambda-Genehmiger verwenden.

• Mit Amazon Cognito Cognito-Benutzerpools können Sie anpassbare Authentifizierungs- und Autorisierungslösungen für Ihren REST APIs erstellen. Amazon Cognito-Benutzerpools werden verwendet, um zu steuern, wer REST-API-Methoden aufrufen kann. Weitere Informationen finden Sie unter Steuern Sie den Zugriff auf REST APIs mithilfe von Amazon Cognito Cognito-Benutzerpools als Autorisierer.

Sie können die folgenden Mechanismen verwenden, um andere Aufgaben im Zusammenhang mit der Zugriffssteuerung auszuführen:

• Mittels Cross-Origin Resource Sharing (CORS) können Sie steuern, wie Ihre REST-API auf Cross-Domain-Ressourcenanforderungen reagiert. Weitere Informationen finden Sie unter CORS für REST APIs im API Gateway.

• Clientseitige SSL-Zertifikate können verwendet werden, um sicherzustellen, dass HTTP-Anfragen an Ihr Backend-System von API Gateway stammen. Weitere Informationen finden Sie unter Erstellen und Konfigurieren eines SSL-Zertifikats für die Backend-Authentifizierung in API Gateway.

• AWS WAF kann verwendet werden, um Ihre API-Gateway-API gegen häufige Web-Exploits zu schützen. Weitere Informationen finden Sie unter Verwenden Sie AWS WAF , um Ihren REST APIs in API Gateway zu schützen.

Sie können die folgenden Mechanismen verwenden, um den Zugriff nachzuverfolgen und einzuschränken, den Sie autorisierten Clients gewährt haben:

• Mit Nutzungsplänen können Sie API-Schlüssel für Ihre Kunden bereitstellen und die Verwendung Ihrer API-Stufen und Methoden für jeden API-Schlüssel nachverfolgen und beschränken. Weitere Informationen finden Sie unter Nutzungspläne und API-Schlüssel für REST APIs in API Gateway.