Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wählen Sie eine Sicherheitsrichtlinie für Ihre benutzerdefinierte REST-API-Domain in API Gateway
Für mehr Sicherheit Ihrer benutzerdefinierten Amazon API Gateway Gateway-Domain können Sie eine Sicherheitsrichtlinie in der API Gateway-Konsole AWS CLI, dem oder einem AWS SDK auswählen.
Eine Sicherheitsrichtlinie ist eine vordefinierte Kombination aus TLS-Mindestversion und Verschlüsselungssammlungen, die von API Gateway angeboten werden. Sie können eine Sicherheitsrichtlinie mit TLS-Version 1.2 oder TLS-Version 1.0 wählen. Das TLS-Protokoll behandelt Netzwerksicherheitsprobleme wie Manipulationen und Abhören zwischen einem Client und einem Server. Wenn Ihre Clients über die benutzerdefinierte Domäne einen TLS-Handshake mit Ihrer API ausführen, erzwingt die Sicherheitsrichtlinie die TLS-Version und die Verschlüsselungssuite-Optionen, die von Ihren Clients verwendet werden können.
In benutzerdefinierten Domäneneinstellungen legt eine Sicherheitsrichtlinie zwei Einstellungen fest:
-
Die TLS-Mindestversion, die API Gateway für die Kommunikation mit API-Clients verwendet.
-
Das Verschlüsselungsverfahren, das API Gateway für die Verschlüsselung des Inhalts verwendet, den es an die API-Clients zurückgibt.
Wenn Sie sich für eine TLS 1.0-Sicherheitsrichtlinie entscheiden, akzeptiert die Sicherheitsrichtlinie TLS 1.0-, TLS 1.2- und TLS 1.3-Verkehr. Wenn Sie eine TLS 1.2-Sicherheitsrichtlinie wählen, akzeptiert die Sicherheitsrichtlinie TLS 1.2- und TLS 1.3-Verkehr und lehnt TLS 1.0-Verkehr ab.
Anmerkung
Sie können eine Sicherheitsrichtlinie nur für eine benutzerdefinierte Domain angeben. Für eine API, die einen Standardendpunkt verwendet, verwendet API Gateway die folgende Sicherheitsrichtlinie:
Für Edge-optimierte APIs:
TLS-1-0Für regionale APIs:
TLS-1-0Für private APIs:
TLS-1-2
Die Chiffren für jede Sicherheitsrichtlinie werden in den folgenden Tabellen auf dieser Seite beschrieben.
Themen
- Wie spezifiziert man eine Sicherheitsrichtlinie für benutzerdefinierte Domänen
- Unterstützte Sicherheitsrichtlinien, TLS-Protokollversionen und Verschlüsselungen für Edge-optimierte benutzerdefinierte Domänen
- Unterstützte Sicherheitsrichtlinien, TLS-Protokollversionen und Chiffren für regionale benutzerdefinierte Domänen
- Unterstützte TLS-Protokollversionen und Chiffren für private APIs
- OpenSSL- und RFC-Verschlüsselungsnamen
- Informationen zu HTTP-APIs und APIs WebSocket
Wie spezifiziert man eine Sicherheitsrichtlinie für benutzerdefinierte Domänen
Wenn Sie einen benutzerdefinierten Domänennamen erstellen, geben Sie die Sicherheitsrichtlinie für diesen an. Informationen zum Erstellen einer benutzerdefinierten Domäne finden Sie unter Richten Sie einen Edge-optimierten benutzerdefinierten Domainnamen in API Gateway ein oderRichten Sie einen regionalen benutzerdefinierten Domainnamen in API Gateway ein.
Um die Sicherheitsrichtlinie für Ihren benutzerdefinierten Domainnamen zu ändern, aktualisieren Sie die benutzerdefinierten Domäneneinstellungen. Sie können Ihre benutzerdefinierten Domainnamen-Einstellungen mit dem AWS Management Console AWS CLI, dem oder einem AWS SDK aktualisieren.
Wenn Sie die API Gateway REST-API oder verwenden AWS CLI, geben Sie die neue TLS-Version TLS_1_0 oder TLS_1_2 im securityPolicy Parameter an. Weitere Informationen finden Sie unter domainname:update in der Amazon API Gateway REST API-Referenz oder update-domain-namein der AWS CLI Referenz.
Der Aktualisierungsvorgang kann einige Minuten dauern.
Unterstützte Sicherheitsrichtlinien, TLS-Protokollversionen und Verschlüsselungen für Edge-optimierte benutzerdefinierte Domänen
In der folgenden Tabelle werden die Sicherheitsrichtlinien beschrieben, die für Edge-optimierte benutzerdefinierte Domänennamen angegeben werden können.
| Sicherheitsrichtlinie | TLS_1_0 | TLS_1_2 |
|---|---|---|
| TLS-Protokolle | ||
| TLSv1.3 | ♦ | ♦ |
| TLSv1.2 | ♦ | ♦ |
| TLSv1.1 | ♦ | |
| TLSv1 | ♦ | |
| TLS-Chiffren | ||
| TLS_AES_128_GCM_SHA256 | ♦ | ♦ |
| TLS_AES_256_GCM_SHA384 | ♦ | ♦ |
| TLS_CHACHA20_POLY1305_SHA256 | ♦ | ♦ |
| ECDHE-ECDSA-AES128-GCM-SHA256 | ♦ | ♦ |
| ECDHE-ECDSA-AES128-SHA256 | ♦ | ♦ |
| ECDHE-ECDSA-AES128-SHA | ♦ | |
| ECDHE-ECDSA-AES256-GCM-SHA384 | ♦ | ♦ |
| ECDHE-ECDSA-CHACHA20-POLY1305 | ♦ | ♦ |
| ECDHE-ECDSA-AES256-SHA384 | ♦ | ♦ |
| ECDHE-ECDSA-AES256-SHA | ♦ | |
| ECDHE-RSA-AES128-GCM-SHA256 | ♦ | ♦ |
| ECDHE-RSA-AES128-SHA256 | ♦ | ♦ |
| ECDHE-RSA-AES128-SHA | ♦ | |
| ECDHE-RSA-AES256-GCM-SHA384 | ♦ | ♦ |
| ECDHE-RSA-CHACHA20-POLY1305 | ♦ | ♦ |
| ECDHE-RSA-AES256-SHA384 | ♦ | ♦ |
| ECDHE-RSA-AES256-SHA | ♦ | |
| AES128-GCM-SHA256 | ♦ | |
| AES256-GCM-SHA384 | ♦ | ♦ |
| AES128-SHA256 | ♦ | ♦ |
| AES256-SHA | ♦ | |
| AES128-SHA | ♦ | |
| DES-CBC3-SHA | ♦ | |
Unterstützte Sicherheitsrichtlinien, TLS-Protokollversionen und Chiffren für regionale benutzerdefinierte Domänen
In der folgenden Tabelle werden die Sicherheitsrichtlinien beschrieben, die für regionale benutzerdefinierte Domainnamen angegeben werden können.
| Sicherheitsrichtlinie | TLS_1_0 | TLS_1_2 |
|---|---|---|
| TLS-Protokolle | ||
TLSv1.3 |
♦ | ♦ |
TLSv1.2 |
♦ | ♦ |
TLSv1.1 |
♦ | |
TLSv1 |
♦ | |
| TLS-Chiffren | ||
TLS_AES_128_GCM_SHA256 |
♦ | ♦ |
TLS_AES_256_GCM_SHA384 |
♦ | ♦ |
TLS_CHACHA20_POLY1305_SHA256 |
♦ | ♦ |
ECDHE-ECDSA-AES128-GCM-SHA256 |
♦ | ♦ |
ECDHE-RSA-AES128-GCM-SHA256 |
♦ | ♦ |
ECDHE-ECDSA-AES128-SHA256 |
♦ | ♦ |
ECDHE-RSA-AES128-SHA256 |
♦ | ♦ |
ECDHE-ECDSA-AES128-SHA |
♦ | |
ECDHE-RSA-AES128-SHA |
♦ | |
ECDHE-ECDSA-AES256-GCM-SHA384 |
♦ | ♦ |
ECDHE-RSA-AES256-GCM-SHA384 |
♦ | ♦ |
ECDHE-ECDSA-AES256-SHA384 |
♦ | ♦ |
ECDHE-RSA-AES256-SHA384 |
♦ | ♦ |
ECDHE-RSA-AES256-SHA |
♦ | |
ECDHE-ECDSA-AES256-SHA |
♦ | |
AES128-GCM-SHA256 |
♦ | ♦ |
AES128-SHA256 |
♦ | ♦ |
AES128-SHA |
♦ | |
AES256-GCM-SHA384 |
♦ | ♦ |
AES256-SHA256 |
♦ | ♦ |
AES256-SHA |
♦ | |
Unterstützte TLS-Protokollversionen und Chiffren für private APIs
In der folgenden Tabelle werden das unterstützte TLS-Protokoll und die Verschlüsselungen für private APIs beschrieben. Die Angabe einer Sicherheitsrichtlinie für private APIs wird nicht unterstützt.
| Sicherheitsrichtlinie | TLS_1_2 |
|---|---|
| TLS-Protokolle | |
TLSv1.2 |
♦ |
| TLS-Chiffren | |
ECDHE-ECDSA-AES128-GCM-SHA256 |
♦ |
ECDHE-RSA-AES128-GCM-SHA256 |
♦ |
ECDHE-ECDSA-AES128-SHA256 |
♦ |
ECDHE-RSA-AES128-SHA256 |
♦ |
| ECDHE-ECDSA-AES256-GCM-SHA384 | ♦ |
| ECDHE-RSA-AES256-GCM-SHA384 | ♦ |
| ECDHE-ECDSA-AES256-SHA384 | ♦ |
| ECDHE-RSA-AES256-SHA384 | ♦ |
| AES128-GCM-SHA256 | ♦ |
| AES128-SHA256 | ♦ |
| AES256-GCM-SHA384 | ♦ |
| AES256-SHA256 | ♦ |
OpenSSL- und RFC-Verschlüsselungsnamen
OpenSSL und IETF RFC 5246 verwenden unterschiedliche Namen für dieselben Chiffren. Die folgende Tabelle ordnet den OpenSSL-Namen dem RFC-Namen für jedes Verschlüsselungsverfahren zu.
| OpenSSL-Verschlüsselungsname | RFC-Verschlüsselungsname |
|---|---|
TLS_AES_128_GCM_SHA256 |
TLS_AES_128_GCM_SHA256 |
TLS_AES_256_GCM_SHA384 |
TLS_AES_256_GCM_SHA384 |
TLS_CHACHA20_POLY1305_SHA256 |
TLS_CHACHA20_POLY1305_SHA256 |
ECDHE-RSA-AES128-GCM-SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
ECDHE-RSA-AES128-SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
ECDHE-RSA-AES128-SHA |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
ECDHE-RSA-AES256-GCM-SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
ECDHE-RSA-AES256-SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
ECDHE-RSA-AES256-SHA |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
AES128-GCM-SHA256 |
TLS_RSA_WITH_AES_128_GCM_SHA256 |
AES256-GCM-SHA384 |
TLS_RSA_WITH_AES_256_GCM_SHA384 |
AES128-SHA256 |
TLS_RSA_WITH_AES_128_CBC_SHA256 |
AES256-SHA |
TLS_RSA_WITH_AES_256_CBC_SHA |
AES128-SHA |
TLS_RSA_WITH_AES_128_CBC_SHA |
DES-CBC3-SHA |
TLS_RSA_WITH_3DES_EDE_CBC_SHA |
Informationen zu HTTP-APIs und APIs WebSocket
Weitere Informationen zu HTTP-APIs und WebSocket APIs finden Sie unter Sicherheitsrichtlinie für HTTP-APIs in API Gateway undSicherheitsrichtlinie für WebSocket APIs in API Gateway.
