Auswählen der TLS-Mindestversion für eine benutzerdefinierte Domäne in API Gateway - Amazon API Gateway

Auswählen der TLS-Mindestversion für eine benutzerdefinierte Domäne in API Gateway

Um die Sicherheit zu verbessern, können Sie die Mindestversion des Transport Layer Security (TLS)-Protokolls auswählen, das für Ihre benutzerdefinierte Amazon-API-Gateway-Domäne durchgesetzt werden soll. Hierzu richten Sie eine Sicherheitsrichtlinie in der API-Gateway-Konsole, in der AWS CLI oder in den AWS SDKs ein.

Eine Sicherheitsrichtlinie ist eine vordefinierte Kombination aus einer TLS-Mindestversion und einer Verschlüsselungssuite, die von Amazon API Gateway bereitgestellt wird. Sie können eine Sicherheitsrichtlinie mit TLS-Version 1.2 oder TLS-Version 1.0 wählen. Das TLS-Protokoll behandelt Netzwerksicherheitsprobleme wie Manipulationen und Abhören zwischen einem Client und einem Server. Wenn Ihre Clients über die benutzerdefinierte Domäne einen TLS-Handshake mit Ihrer API ausführen, erzwingt die Sicherheitsrichtlinie die TLS-Version und die Verschlüsselungssuite-Optionen, die von Ihren Clients verwendet werden können.

In benutzerdefinierten Domäneneinstellungen legt eine Sicherheitsrichtlinie zwei Einstellungen fest:

  • Die TLS-Mindestversion, die API Gateway für die Kommunikation mit API-Clients verwendet.

  • Das Verschlüsselungsverfahren, das API Gateway für die Verschlüsselung des Inhalts verwendet, den es an die API-Clients zurückgibt.

So geben Sie eine Mindestversion für das TLS-Protokoll für benutzerdefinierte Domänen in API Gateway an

Wenn Sie eine benutzerdefinierte Domäne erstellen, geben Sie die Sicherheitsrichtlinie für die Domäne an. Weitere Informationen zu Sicherheitsrichtlinien finden Sie in den Tabellen in den folgenden Abschnitten.

In den folgenden Abschnitten wird beschrieben, wie Sie einen benutzerdefinierten Domänennamen einschließlich der Angabe der TLS-Mindestversion in der API Gateway-Konsole und in der CLI erstellen:

Sie können die Sicherheitsrichtlinie durch Aktualisieren der Domänennameneinstellungen ändern. Um die TLS-Mindestversion zu ändern, verwenden Sie einen der folgenden Befehle und geben die neuen TLS-Version (TLS_1_0 oder TLS_1_2) in im securityPolicy Parameter an. Es kann bis zu 60 Minuten dauern, bis die Aktualisierung abgeschlossen ist.

Unterstützte Sicherheitsrichtlinien, TLS-Protokollversionen und Verschlüsselungsverfahren für Edge-optimierte API-Endpunkte in API Gateway

Die folgende Tabelle listet die Protokolle und Verschlüsselungsverfahren auf, die API Gateway für die einzelnen Sicherheitsrichtlinien für Edge-optimierte APIs verwenden kann.

Sicherheitsrichtlinie
TLS-1-0 TLS-1-2
Unterstützte SSL/TLS-Protokolle
TLSv1.3
TLSv1.2
TLSv1.1
TLSv1
SSLv3
Ciphers supported
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
AES256-SHA
AES128-SHA
DES-CBC3-SHA
RC4-MD5

Unterstützte SSL/TLS-Protokolle und -Verschlüsselungsverfahren für regionale, private und WebSocket-API-Endpunkte in API Gateway

Die folgende Tabelle beschreibt die Sicherheitsrichtlinien, die für regionale, private und WebSocket-API-Endpunkte angegeben werden können.

Anmerkung

Für private und WebSocket-APIs kann nur TLS-1-2 angegeben werden.

Sicherheitsrichtlinie TLS-1-0 TLS-1-2
TLS-Protokolle

Protocol-TLSv1

Protocol-TLSv1.1

Protocol-TLSv1.2

TLS-Verschlüsselungsverfahren

ECDHE-ECDSA-AES128-GCM-SHA256

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-ECDSA-AES128-SHA256

ECDHE-RSA-AES128-SHA256

ECDHE-ECDSA-AES128-SHA

ECDHE-RSA-AES128-SHA

ECDHE-ECDSA-AES256-GCM-SHA384

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES256-SHA384

ECDHE-RSA-AES256-SHA

ECDHE-ECDSA-AES256-SHA

AES128-GCM-SHA256

AES128-SHA256

AES128-SHA

AES256-GCM-SHA384

AES256-SHA256

AES256-SHA

DES-CBC3-SHA

OpenSSL- und RFC-Verschlüsselungsnamen

OpenSSL und IETF RFC 5246, die Transport Layer Security (TLS) Protokollversion 1.2, verwenden unterschiedliche Namen für die gleichen Verschlüsselungsverfahren. Die folgende Tabelle ordnet den OpenSSL-Namen dem RFC-Namen für jedes Verschlüsselungsverfahren zu.

OpenSSL-Verschlüsselungsname RFC-Verschlüsselungsname

ECDHE-RSA-AES128-GCM-SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

ECDHE-RSA-AES128-SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

ECDHE-RSA-AES128-SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

ECDHE-RSA-AES256-GCM-SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

ECDHE-RSA-AES256-SHA384

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

ECDHE-RSA-AES256-SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

AES128-GCM-SHA256

TLS_RSA_WITH_AES_128_GCM_SHA256

AES256-GCM-SHA384

TLS_RSA_WITH_AES_256_GCM_SHA384

AES128-SHA256

TLS_RSA_WITH_AES_128_CBC_SHA256

AES256-SHA

TLS_RSA_WITH_AES_256_CBC_SHA

AES128-SHA

TLS_RSA_WITH_AES_128_CBC_SHA

DES-CBC3-SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

RC4-MD5

TLS_RSA_WITH_RC4_128_MD5