Wählen Sie eine Sicherheitsrichtlinie für Ihre benutzerdefinierte REST-API-Domain in API Gateway aus

Für mehr Sicherheit Ihrer benutzerdefinierten Amazon API Gateway Gateway-Domain können Sie eine Sicherheitsrichtlinie in der API Gateway-Konsole AWS CLI, dem oder einem AWS SDK auswählen.

Eine Sicherheitsrichtlinie ist eine vordefinierte Kombination aus einer TLS-Mindestversion und Verschlüsselungssuites, die von API Gateway angeboten werden. Sie können eine Sicherheitsrichtlinie mit TLS-Version 1.2 oder TLS-Version 1.0 wählen. Das TLS-Protokoll behandelt Netzwerksicherheitsprobleme wie Manipulationen und Abhören zwischen einem Client und einem Server. Wenn Ihre Clients über die benutzerdefinierte Domäne einen TLS-Handshake mit Ihrer API ausführen, erzwingt die Sicherheitsrichtlinie die TLS-Version und die Verschlüsselungssuite-Optionen, die von Ihren Clients verwendet werden können.

In benutzerdefinierten Domäneneinstellungen legt eine Sicherheitsrichtlinie zwei Einstellungen fest:

• Die TLS-Mindestversion, die API Gateway für die Kommunikation mit API-Clients verwendet.

• Das Verschlüsselungsverfahren, das API Gateway für die Verschlüsselung des Inhalts verwendet, den es an die API-Clients zurückgibt.

Wenn Sie eine TLS 1.0-Sicherheitsrichtlinie auswählen, akzeptiert die Sicherheitsrichtlinie TLS 1.0-, TLS 1.2- und TLS 1.3-Traffic. Wenn Sie eine TLS 1.2-Sicherheitsrichtlinie auswählen, akzeptiert die Sicherheitsrichtlinie TLS 1.2- und TLS 1.3-Traffic und weist TLS 1.0-Traffic zurück.

Anmerkung

Eine Sicherheitsrichtlinie kann nur für eine benutzerdefinierte Domain angeben werden. Für eine API mit einem Standardendpunkt verwendet API Gateway die folgende Sicherheitsrichtlinie:

• Für Edge-Optimierungen APIs: TLS-1-0

• Für Regional: APIs TLS-1-0

• Für private Zwecke APIs: TLS-1-2

Die Verschlüsselungen der einzelnen Sicherheitsrichtlinien werden auf dieser Seite in den folgenden Tabellen beschrieben.

So geben Sie eine Sicherheitsrichtlinie für benutzerdefinierte Domains an

Wenn Sie einen benutzerdefinierte Domainnamen erstellen, geben Sie die entsprechende Sicherheitsrichtlinie an. Informationen zum Erstellen einer benutzerdefinierten Domain finden Sie unter Einrichten eines Edge-optimierten benutzerdefinierten Domainnamens in API Gateway oder Einrichten eines regionalen benutzerdefinierten Domainnamens in API Gateway.

Sie müssen die Einstellungen der benutzerdefinierten Domain aktualisieren, um die Sicherheitsrichtlinie Ihres benutzerdefinierten Domainnamens zu ändern. Sie können Ihre benutzerdefinierten Domainnamen-Einstellungen mit dem AWS Management Console AWS CLI, dem oder einem AWS SDK aktualisieren.

Wenn Sie die API-Gateway-REST-API oder AWS CLI verwenden, geben Sie die neue TLS-Version, TLS_1_0 oder TLS_1_2 im securityPolicy-Parameter an. Weitere Informationen finden Sie unter domainname:update in der Amazon API Gateway REST API-Referenz oder update-domain-namein der AWS CLI Referenz.

Der Aktualisierungsvorgang kann einige Minuten dauern.

Unterstützte Sicherheitsrichtlinien, TLS-Protokollversionen und Verschlüsselungsverfahren für Edge-optimierte benutzerdefinierte Domains

In der folgenden Tabelle werden die Sicherheitsrichtlinien beschrieben, die für Edge-optimierte benutzerdefinierte Domainnamen angegeben werden können.

TLS-Protokolle	TLS_1_0-Sicherheitsrichtlinie	TLS_1_2-Sicherheitsrichtlinie
TLSv13.	Ja	Ja
TLSv12.	Ja	Ja
TLSv11.	Ja	Nein
TLSv1	Ja	Nein

In der folgenden Tabelle werden die TLS-Verschlüsselungsverfahren beschrieben, die für die einzelnen Sicherheitsrichtlinien verfügbar sind.

TLS-Verschlüsselungsverfahren	TLS_1_0-Sicherheitsrichtlinie	TLS_1_2-Sicherheitsrichtlinie
TLS_AES_128_GCM_ SHA256	Ja	Ja
TLS_AES_256_GCM_ SHA384	Ja	Ja
TLS_ 0_ 05_ CHACHA2 POLY13 SHA256	Ja	Ja
ECDHE-ECDSA- -GCM- AES128 SHA256	Ja	Ja
ECDHE-ECDSA- - AES128 SHA256	Ja	Ja
ECDHE-ECDSA- -SHA AES128	Ja	Nein
ECDHE-ECDSA- -GCM- AES256 SHA384	Ja	Ja
ECDHE-ECDSA- 0 CHACHA2 - 05 POLY13	Ja	Ja
ECDHE-ECDSA- AES256 - SHA384	Ja	Ja
ECDHE-ECDSA- -SHA AES256	Ja	Nein
ECDHE-RSA- -GCM- AES128 SHA256	Ja	Ja
ECDHE-RSA- AES128 - SHA256	Ja	Ja
ECDHE-RSA- AES128 -SHA	Ja	Nein
ECDHE-RSA- AES256 -GCM- SHA384	Ja	Ja
ECDHE-RSA- CHACHA2 0- 05 POLY13	Ja	Ja
ECDHE-RSA AES256 - - SHA384	Ja	Ja
ECDHE-RSA- AES256 -SHA	Ja	Nein
AES128-GCM- SHA256	Ja	Nein
AES256-GCM- SHA384	Ja	Ja
AES128-SHA256	Ja	Ja
AES256-SCHA	Ja	Nein
AES128-SCHA	Ja	Nein
DES-SHA CBC3	Ja	Nein

Unterstützte Sicherheitsrichtlinien, TLS-Protokollversionen und Verschlüsselungsverfahren für regionale benutzerdefinierte Domains

In der folgenden Tabelle werden die Sicherheitsrichtlinien für regionale benutzerdefinierte Domainnamen beschrieben.

TLS-Protokolle	TLS_1_0-Sicherheitsrichtlinie	TLS_1_2-Sicherheitsrichtlinie
TLSv13.	Ja	Ja
TLSv12.	Ja	Ja
TLSv11.	Ja	Nein
TLSv1	Ja	Nein

In der folgenden Tabelle werden die TLS-Verschlüsselungsverfahren beschrieben, die für die einzelnen Sicherheitsrichtlinien verfügbar sind.

TLS-Verschlüsselungsverfahren	TLS_1_0-Sicherheitsrichtlinie	TLS_1_2-Sicherheitsrichtlinie
TLS_AES_128_GCM_ SHA256	Ja	Ja
TLS_AES_256_GCM_ SHA384	Ja	Ja
TLS_ 0_ 05_ CHACHA2 POLY13 SHA256	Ja	Ja
ECDHE-ECDSA- -GCM- AES128 SHA256	Ja	Ja
ECDHE-RSA- AES128 -GCM- SHA256	Ja	Ja
ECDHE-ECDSA- AES128 - SHA256	Ja	Ja
ECDHE-RSA- - AES128 SHA256	Ja	Ja
ECDHE-ECDSA-SHA AES128	Ja	Nein
ECDHE-RSA-SHA AES128	Ja	Nein
ECDHE-ECDSA- AES256 -GCM- SHA384	Ja	Ja
ECDHE-RSA- AES256 -GCM- SHA384	Ja	Ja
ECDHE-ECDSA- AES256 - SHA384	Ja	Ja
ECDHE-RSA- - AES256 SHA384	Ja	Ja
ECDHE-RSA- AES256 -SHA	Ja	Nein
ECDHE-ECDSA-SHA AES256	Ja	Nein
AES128-GCM- SHA256	Ja	Ja
AES128-SHA256	Ja	Ja
AES128-SCHA	Ja	Nein
AES256-GCM- SHA384	Ja	Ja
AES256-SHA256	Ja	Ja
AES256-SCHA	Ja	Nein

Unterstützte TLS-Protokollversionen und Chiffren für private Zwecke APIs

In der folgenden Tabelle werden die unterstützten TLS-Protokolle für private Zwecke beschrieben. APIs Die Angabe einer Sicherheitsrichtlinie für private APIs Benutzer wird nicht unterstützt.

TLS-Protokolle	TLS_1_2-Sicherheitsrichtlinie
TLSv12.	Ja

In der folgenden Tabelle werden die TLS-Verschlüsselungen beschrieben, die für die TLS_1_2 Sicherheitsrichtlinie für private Benutzer verfügbar sind. APIs

TLS-Verschlüsselungsverfahren	TLS_1_2-Sicherheitsrichtlinie
ECDHE-ECDSA- -GCM- AES128 SHA256	Ja
ECDHE-RSA- AES128 -GCM- SHA256	Ja
ECDHE-ECDSA- AES128 - SHA256	Ja
ECDHE-RSA- - AES128 SHA256	Ja
ECDHE-ECDSA- -GCM AES256 - SHA384	Ja
ECDHE-RSA- AES256 -GCM- SHA384	Ja
ECDHE-ECDSA- AES256 - SHA384	Ja
ECDHE-RSA- - AES256 SHA384	Ja
AES128-GCM- SHA256	Ja
AES128-SHA256	Ja
AES256-GCM- SHA384	Ja
AES256-SHA256	Ja

OpenSSL- und RFC-Verschlüsselungsnamen

OpenSSL und IETF RFC 5246 verwenden unterschiedliche Namen für die gleichen Verschlüsselungsverfahren. Die folgende Tabelle ordnet den OpenSSL-Namen dem RFC-Namen für jedes Verschlüsselungsverfahren zu. Weitere Informationen finden Sie unter Chiffren in der OpenSSL-Dokumentation.

OpenSSL-Verschlüsselungsname	RFC-Verschlüsselungsname
TLS_AES_128_GCM_ SHA256	TLS AES 128 GCM SHA256
TLS_AES_256_GCM_ SHA384	TLS_AES_256_GCM_ SHA384
TLS_ 0_ 05_ CHACHA2 POLY13 SHA256	TLS_ CHACHA2 0_ POLY13 05_ SHA256
ECDHE-RSA- -GCM- AES128 SHA256	TLS_ECDHE_RSA_MIT_AES_128_GCM_ SHA256
ECDHE-RSA- - AES128 SHA256	TLS_ECDHE_RSA_MIT_AES_128_CBC_ SHA256
ECDHE-RSA-SHA AES128	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
ECDHE-RSA- AES256 -GCM- SHA384	TLS_ECDHE_RSA_MIT_AES_256_GCM_ SHA384
ECDHE-RSA- - AES256 SHA384	TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA384
ECDHE-RSA-SHA AES256	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
AES128-GCM- SHA256	TLS_RSA_MIT_AES_128_GCM_ SHA256
AES256-GCM- SHA384	TLS_RSA_MIT_AES_256_GCM_ SHA384
AES128-SHA256	TLS_RSA_MIT_AES_128_CBC_ SHA256
AES256-SCHA	TLS_RSA_WITH_AES_256_CBC_SHA
AES128-SCHA	TLS_RSA_WITH_AES_128_CBC_SHA
DES-SHA CBC3	TLS_RSA_WITH_3DES_EDE_CBC_SHA

Informationen über HTTP APIs und WebSocket APIs

Weitere Hinweise zu HTTP APIs und WebSocket APIs finden Sie unter Sicherheitsrichtlinie für HTTP APIs in API Gateway undSicherheitsrichtlinie für WebSocket APIs in API Gateway.