Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Auswählen einer Sicherheitsrichtlinie für Ihre benutzerdefinierte Domain in API Gateway
Um die Sicherheit Ihrer benutzerdefinierten Amazon API Gateway-Domäne zu erhöhen, können Sie eine Sicherheitsrichtlinie in der API Gateway-Konsole, der AWS CLI oder einem SDK auswählen AWS .
Eine Sicherheitsrichtlinie ist eine vordefinierte Kombination aus TLS-Mindestversion und Verschlüsselungssammlungen, die von API Gateway angeboten werden. Sie können eine Sicherheitsrichtlinie mit TLS-Version 1.2 oder TLS-Version 1.0 wählen. Das TLS-Protokoll behandelt Netzwerksicherheitsprobleme wie Manipulationen und Abhören zwischen einem Client und einem Server. Wenn Ihre Clients über die benutzerdefinierte Domäne einen TLS-Handshake mit Ihrer API ausführen, erzwingt die Sicherheitsrichtlinie die TLS-Version und die Verschlüsselungssuite-Optionen, die von Ihren Clients verwendet werden können.
In benutzerdefinierten Domäneneinstellungen legt eine Sicherheitsrichtlinie zwei Einstellungen fest:
-
Die TLS-Mindestversion, die API Gateway für die Kommunikation mit API-Clients verwendet.
-
Das Verschlüsselungsverfahren, das API Gateway für die Verschlüsselung des Inhalts verwendet, den es an die API-Clients zurückgibt.
Wenn Sie sich für eine TLS-1.0-Sicherheitsrichtlinie entscheiden, akzeptiert die Sicherheitsrichtlinie den Datenverkehr von TLS 1.0, TLS 1.2 und TLS 1.3. Wenn Sie sich für eine TLS-1.2-Sicherheitsrichtlinie entscheiden, akzeptiert die Sicherheitsrichtlinie TLS-1.2- und TLS-1.3-Datenverkehr und lehnt TLS-1.0-Datenverkehr ab.
Anmerkung
Sie können nur eine Sicherheitsrichtlinie für eine benutzerdefinierte Domain angeben. Für eine API, die einen Standardendpunkt verwendet, verwendet API Gateway die folgende Sicherheitsrichtlinie:
Für Edge-optimierte APIs
TLS-1-0:Für regionale APIs
TLS-1-0:Für private APIs
TLS-1-2:
Themen
- So geben Sie eine Sicherheitsrichtlinie für benutzerdefinierte Domänen an
- Unterstützte Sicherheitsrichtlinien, TLS-Protokollversionen und Verschlüsselungsverfahren für Edge-optimierte benutzerdefinierte Domänen
- Unterstützte Sicherheitsrichtlinien, TLS-Protokollversionen und Verschlüsselungsverfahren für regionale benutzerdefinierte Domänen
- Unterstützte TLS-Protokollversionen und Verschlüsselungen für private APIs
- OpenSSL- und RFC-Verschlüsselungsnamen
- Informationen zu HTTP-APIs und - WebSocket APIs
So geben Sie eine Sicherheitsrichtlinie für benutzerdefinierte Domänen an
Wenn Sie einen benutzerdefinierten Domänennamen erstellen, geben Sie die Sicherheitsrichtlinie dafür an. Informationen zum Erstellen einer benutzerdefinierten Domäne finden Sie unter Erstellen eines Edge-optimierten benutzerdefinierten Domänennamens oder Einrichten eines regionalen benutzerdefinierten Domänennamens in API Gateway.
Um die Sicherheitsrichtlinie Ihres benutzerdefinierten Domänennamens zu ändern, aktualisieren Sie die benutzerdefinierten Domäneneinstellungen. Sie können Ihre benutzerdefinierten Domänennameneinstellungen mithilfe der AWS Management Console, der AWS CLI oder einem SDK aktualisieren AWS .
Wenn Sie die API Gateway-REST-API oder verwenden AWS CLI, geben Sie die neue TLS-Version TLS_1_0 oder TLS_1_2 im securityPolicy Parameter an. Weitere Informationen finden Sie unter domainname:update in der Amazon API Gateway-REST-API-Referenz oder update-domain-name in der AWS CLI -Referenz.
Der Aktualisierungsvorgang kann einige Minuten dauern.
Unterstützte Sicherheitsrichtlinien, TLS-Protokollversionen und Verschlüsselungsverfahren für Edge-optimierte benutzerdefinierte Domänen
In der folgenden Tabelle werden die Sicherheitsrichtlinien beschrieben, die für Edge-optimierte benutzerdefinierte Domänennamen angegeben werden können.
| Sicherheitsrichtlinie | TLS_1_0 | TLS_1_2 |
|---|---|---|
| TLS-Protokolle | ||
| TLSv1.3 | ♦ | ♦ |
| TLSv1.2 | ♦ | ♦ |
| TLSv1.1 | ♦ | |
| TLSv1 | ♦ | |
| TLS-Verschlüsselungen | ||
| TLS_AES_128_GCM_SHA256 | ♦ | ♦ |
| TLS_AES_256_GCM_SHA384 | ♦ | ♦ |
| TLS_CHACHA20_POLY1305_SHA256 | ♦ | ♦ |
| ECDHE-ECDSA-AES128-GCM-SHA256 | ♦ | ♦ |
| ECDHE-ECDSA-AES128-SHA256 | ♦ | ♦ |
| ECDHE-ECDSA-AES128-SHA | ♦ | |
| ECDHE-ECDSA-AES256-GCM-SHA384 | ♦ | ♦ |
| ECDHE-ECDSA-CHACHA20-POLY1305 | ♦ | ♦ |
| ECDHE-ECDSA-AES256-SHA384 | ♦ | ♦ |
| ECDHE-ECDSA-AES256-SHA | ♦ | |
| ECDHE-RSA-AES128-GCM-SHA256 | ♦ | ♦ |
| ECDHE-RSA-AES128-SHA256 | ♦ | ♦ |
| ECDHE-RSA-AES128-SHA | ♦ | |
| ECDHE-RSA-AES256-GCM-SHA384 | ♦ | ♦ |
| ECDHE-RSA-CHACHA20-POLY1305 | ♦ | ♦ |
| ECDHE-RSA-AES256-SHA384 | ♦ | ♦ |
| ECDHE-RSA-AES256-SHA | ♦ | |
| AES128-GCM-SHA256 | ♦ | |
| AES256-GCM-SHA384 | ♦ | ♦ |
| AES128-SHA256 | ♦ | ♦ |
| AES256-SHA | ♦ | |
| AES128-SHA | ♦ | |
| DES-CBC3-SHA | ♦ | |
Unterstützte Sicherheitsrichtlinien, TLS-Protokollversionen und Verschlüsselungsverfahren für regionale benutzerdefinierte Domänen
In der folgenden Tabelle werden die Sicherheitsrichtlinien beschrieben, die für regionale benutzerdefinierte Domänennamen angegeben werden können.
| Sicherheitsrichtlinie | TLS_1_0 | TLS_1_2 |
|---|---|---|
| TLS-Protokolle | ||
TLSv1.3 |
♦ | ♦ |
TLSv1.2 |
♦ | ♦ |
TLSv1.1 |
♦ | |
TLSv1 |
♦ | |
| TLS-Verschlüsselungen | ||
TLS_AES_128_GCM_SHA256 |
♦ | ♦ |
TLS_AES_256_GCM_SHA384 |
♦ | ♦ |
TLS_CHACHA20_POLY1305_SHA256 |
♦ | ♦ |
ECDHE-ECDSA-AES128-GCM-SHA256 |
♦ | ♦ |
ECDHE-RSA-AES128-GCM-SHA256 |
♦ | ♦ |
ECDHE-ECDSA-AES128-SHA256 |
♦ | ♦ |
ECDHE-RSA-AES128-SHA256 |
♦ | ♦ |
ECDHE-ECDSA-AES128-SHA |
♦ | |
ECDHE-RSA-AES128-SHA |
♦ | |
ECDHE-ECDSA-AES256-GCM-SHA384 |
♦ | ♦ |
ECDHE-RSA-AES256-GCM-SHA384 |
♦ | ♦ |
ECDHE-ECDSA-AES256-SHA384 |
♦ | ♦ |
ECDHE-RSA-AES256-SHA384 |
♦ | ♦ |
ECDHE-RSA-AES256-SHA |
♦ | |
ECDHE-ECDSA-AES256-SHA |
♦ | |
AES128-GCM-SHA256 |
♦ | ♦ |
AES128-SHA256 |
♦ | ♦ |
AES128-SHA |
♦ | |
AES256-GCM-SHA384 |
♦ | ♦ |
AES256-SHA256 |
♦ | ♦ |
AES256-SHA |
♦ | |
Unterstützte TLS-Protokollversionen und Verschlüsselungen für private APIs
In der folgenden Tabelle werden das unterstützte TLS-Protokoll und die Verschlüsselungsverfahren für private APIs beschrieben. Die Angabe einer Sicherheitsrichtlinie für private APIs wird nicht unterstützt.
| Sicherheitsrichtlinie | TLS_1_2 |
|---|---|
| TLS-Protokolle | |
TLSv1.2 |
♦ |
| TLS-Verschlüsselungen | |
ECDHE-ECDSA-AES128-GCM-SHA256 |
♦ |
ECDHE-RSA-AES128-GCM-SHA256 |
♦ |
ECDHE-ECDSA-AES128-SHA256 |
♦ |
ECDHE-RSA-AES128-SHA256 |
♦ |
| ECDHE-ECDSA-AES256-GCM-SHA384 | ♦ |
| ECDHE-RSA-AES256-GCM-SHA384 | ♦ |
| ECDHE-ECDSA-AES256-SHA384 | ♦ |
| ECDHE-RSA-AES256-SHA384 | ♦ |
| AES128-GCM-SHA256 | ♦ |
| AES128-SHA256 | ♦ |
| AES256-GCM-SHA384 | ♦ |
| AES256-SHA256 | ♦ |
OpenSSL- und RFC-Verschlüsselungsnamen
OpenSSL und IETF RFC 5246 verwenden unterschiedliche Namen für dieselben Verschlüsselungen. Die folgende Tabelle ordnet den OpenSSL-Namen dem RFC-Namen für jedes Verschlüsselungsverfahren zu.
| OpenSSL-Verschlüsselungsname | RFC-Verschlüsselungsname |
|---|---|
TLS_AES_128_GCM_SHA256 |
TLS_AES_128_GCM_SHA256 |
TLS_AES_256_GCM_SHA384 |
TLS_AES_256_GCM_SHA384 |
TLS_CHACHA20_POLY1305_SHA256 |
TLS_CHACHA20_POLY1305_SHA256 |
ECDHE-RSA-AES128-GCM-SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
ECDHE-RSA-AES128-SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
ECDHE-RSA-AES128-SHA |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
ECDHE-RSA-AES256-GCM-SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
ECDHE-RSA-AES256-SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
ECDHE-RSA-AES256-SHA |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
AES128-GCM-SHA256 |
TLS_RSA_WITH_AES_128_GCM_SHA256 |
AES256-GCM-SHA384 |
TLS_RSA_WITH_AES_256_GCM_SHA384 |
AES128-SHA256 |
TLS_RSA_WITH_AES_128_CBC_SHA256 |
AES256-SHA |
TLS_RSA_WITH_AES_256_CBC_SHA |
AES128-SHA |
TLS_RSA_WITH_AES_128_CBC_SHA |
DES-CBC3-SHA |
TLS_RSA_WITH_3DES_EDE_CBC_SHA |
Informationen zu HTTP-APIs und - WebSocket APIs
Weitere Informationen zu HTTP-APIs und - WebSocket APIs finden Sie unter Sicherheitsrichtlinie für HTTP-APIs und Sicherheitsrichtlinie für WebSocket APIs.
