Auswählen der TLS-Mindestversion für eine benutzerdefinierte Domäne in API Gateway
Um die Sicherheit zu verbessern, können Sie die Mindestversion des Transport Layer Security (TLS)-Protokolls auswählen, das für Ihre benutzerdefinierte Amazon-API-Gateway-Domäne durchgesetzt werden soll. Hierzu richten Sie eine Sicherheitsrichtlinie in der API-Gateway-Konsole, in der AWS CLI oder in den AWS SDKs ein.
Eine Sicherheitsrichtlinie ist eine vordefinierte Kombination aus einer TLS-Mindestversion und einer Verschlüsselungssuite, die von Amazon API Gateway bereitgestellt wird. Sie können eine Sicherheitsrichtlinie mit TLS-Version 1.2 oder TLS-Version 1.0 wählen. Das TLS-Protokoll behandelt Netzwerksicherheitsprobleme wie Manipulationen und Abhören zwischen einem Client und einem Server. Wenn Ihre Clients über die benutzerdefinierte Domäne einen TLS-Handshake mit Ihrer API ausführen, erzwingt die Sicherheitsrichtlinie die TLS-Version und die Verschlüsselungssuite-Optionen, die von Ihren Clients verwendet werden können.
In benutzerdefinierten Domäneneinstellungen legt eine Sicherheitsrichtlinie zwei Einstellungen fest:
-
Die TLS-Mindestversion, die API Gateway für die Kommunikation mit API-Clients verwendet.
-
Das Verschlüsselungsverfahren, das API Gateway für die Verschlüsselung des Inhalts verwendet, den es an die API-Clients zurückgibt.
Themen
- So geben Sie eine Mindestversion für das TLS-Protokoll für benutzerdefinierte Domänen in API Gateway an
- Unterstützte Sicherheitsrichtlinien, TLS-Protokollversionen und Verschlüsselungsverfahren für Edge-optimierte API-Endpunkte in API Gateway
- Unterstützte SSL/TLS-Protokolle und -Verschlüsselungsverfahren für regionale, private und WebSocket-API-Endpunkte in API Gateway
- OpenSSL- und RFC-Verschlüsselungsnamen
So geben Sie eine Mindestversion für das TLS-Protokoll für benutzerdefinierte Domänen in API Gateway an
Wenn Sie eine benutzerdefinierte Domäne erstellen, geben Sie die Sicherheitsrichtlinie für die Domäne an. Weitere Informationen zu Sicherheitsrichtlinien finden Sie in den Tabellen in den folgenden Abschnitten.
In den folgenden Abschnitten wird beschrieben, wie Sie einen benutzerdefinierten Domänennamen einschließlich der Angabe der TLS-Mindestversion in der API Gateway-Konsole und in der CLI erstellen:
Sie können die Sicherheitsrichtlinie durch Aktualisieren der Domänennameneinstellungen ändern. Um die TLS-Mindestversion zu ändern, verwenden Sie einen der folgenden Befehle und geben die neuen TLS-Version (TLS_1_0 oder TLS_1_2) in im securityPolicy Parameter an. Es kann bis zu 60 Minuten dauern, bis die Aktualisierung abgeschlossen ist.
Unterstützte Sicherheitsrichtlinien, TLS-Protokollversionen und Verschlüsselungsverfahren für Edge-optimierte API-Endpunkte in API Gateway
Die folgende Tabelle listet die Protokolle und Verschlüsselungsverfahren auf, die API Gateway für die einzelnen Sicherheitsrichtlinien für Edge-optimierte APIs verwenden kann.
| Sicherheitsrichtlinie | ||
|---|---|---|
| TLS-1-0 | TLS-1-2 | |
| Unterstützte SSL/TLS-Protokolle | ||
| TLSv1.3 | ♦ | ♦ |
| TLSv1.2 | ♦ | ♦ |
| TLSv1.1 | ♦ | |
| TLSv1 | ♦ | |
| SSLv3 | ||
| Ciphers supported | ||
| ECDHE-RSA-AES128-GCM-SHA256 | ♦ | ♦ |
| ECDHE-RSA-AES128-SHA256 | ♦ | ♦ |
| ECDHE-RSA-AES128-SHA | ♦ | |
| ECDHE-RSA-AES256-GCM-SHA384 | ♦ | ♦ |
| ECDHE-RSA-AES256-SHA384 | ♦ | ♦ |
| ECDHE-RSA-AES256-SHA | ♦ | |
| AES128-GCM-SHA256 | ♦ | ♦ |
| AES256-GCM-SHA384 | ♦ | ♦ |
| AES128-SHA256 | ♦ | ♦ |
| AES256-SHA | ♦ | |
| AES128-SHA | ♦ | |
| DES-CBC3-SHA | ♦ | |
| RC4-MD5 | ||
Unterstützte SSL/TLS-Protokolle und -Verschlüsselungsverfahren für regionale, private und WebSocket-API-Endpunkte in API Gateway
Die folgende Tabelle beschreibt die Sicherheitsrichtlinien, die für regionale, private und WebSocket-API-Endpunkte angegeben werden können.
Für private und WebSocket-APIs kann nur TLS-1-2 angegeben werden.
| Sicherheitsrichtlinie | TLS-1-0 | TLS-1-2 |
|---|---|---|
| TLS-Protokolle | ||
Protocol-TLSv1 |
♦ | |
Protocol-TLSv1.1 |
♦ | |
Protocol-TLSv1.2 |
♦ | ♦ |
| TLS-Verschlüsselungsverfahren | ||
ECDHE-ECDSA-AES128-GCM-SHA256 |
♦ | ♦ |
ECDHE-RSA-AES128-GCM-SHA256 |
♦ | ♦ |
ECDHE-ECDSA-AES128-SHA256 |
♦ | ♦ |
ECDHE-RSA-AES128-SHA256 |
♦ | ♦ |
ECDHE-ECDSA-AES128-SHA |
♦ | |
ECDHE-RSA-AES128-SHA |
♦ | |
ECDHE-ECDSA-AES256-GCM-SHA384 |
♦ | ♦ |
ECDHE-RSA-AES256-GCM-SHA384 |
♦ | ♦ |
ECDHE-ECDSA-AES256-SHA384 |
♦ | ♦ |
ECDHE-RSA-AES256-SHA384 |
♦ | ♦ |
ECDHE-RSA-AES256-SHA |
♦ | |
ECDHE-ECDSA-AES256-SHA |
♦ | |
AES128-GCM-SHA256 |
♦ | ♦ |
AES128-SHA256 |
♦ | ♦ |
AES128-SHA |
♦ | |
AES256-GCM-SHA384 |
♦ | ♦ |
AES256-SHA256 |
♦ | ♦ |
AES256-SHA |
♦ | |
DES-CBC3-SHA |
♦ | |
OpenSSL- und RFC-Verschlüsselungsnamen
OpenSSL und IETF RFC 5246, die Transport Layer Security (TLS) Protokollversion 1.2
| OpenSSL-Verschlüsselungsname | RFC-Verschlüsselungsname |
|---|---|
ECDHE-RSA-AES128-GCM-SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
ECDHE-RSA-AES128-SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
ECDHE-RSA-AES128-SHA |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
ECDHE-RSA-AES256-GCM-SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
ECDHE-RSA-AES256-SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
ECDHE-RSA-AES256-SHA |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
AES128-GCM-SHA256 |
TLS_RSA_WITH_AES_128_GCM_SHA256 |
AES256-GCM-SHA384 |
TLS_RSA_WITH_AES_256_GCM_SHA384 |
AES128-SHA256 |
TLS_RSA_WITH_AES_128_CBC_SHA256 |
AES256-SHA |
TLS_RSA_WITH_AES_256_CBC_SHA |
AES128-SHA |
TLS_RSA_WITH_AES_128_CBC_SHA |
DES-CBC3-SHA |
TLS_RSA_WITH_3DES_EDE_CBC_SHA |
RC4-MD5 |
TLS_RSA_WITH_RC4_128_MD5 |
