Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Benutzerdefinierte Domainnamen für private Zwecke APIs in API Gateway

RSS
Fokusmodus
Benutzerdefinierte Domainnamen für private Zwecke APIs in API Gateway - Amazon API Gateway
Den privaten Zertifikatsschlüssel für Ihren benutzerdefinierten Domainnamen sichernÜberlegungen zu privaten benutzerdefinierten DomainnamenÜberlegungen zur Verwendung privater benutzerdefinierter Domainnamen mit anderen API-Gateway-RessourcenUnterschiede zwischen privaten und öffentlichen benutzerdefinierten DomainnamenNächste Schritte für benutzerdefinierte Domainnamen für private APIs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sie können einen benutzerdefinierten Domainnamen für Ihre private Domain erstellen APIs. Mit einem privaten benutzerdefinierten Domainnamen bieten Sie API-Aufrufern eine einfachere und intuitivere URL. Mit einem privaten benutzerdefinierten Domainnamen können Sie die Komplexität reduzieren, Sicherheitsmaßnahmen während des TLS-Handshakes konfigurieren und den Zertifikatslebenszyklus Ihres Domainnamens mithilfe von AWS Certificate Manager (ACM) kontrollieren. Weitere Informationen finden Sie unter Den privaten Zertifikatsschlüssel für Ihren benutzerdefinierten Domainnamen sichern.

Benutzerdefinierte Domainnamen für private APIs Zwecke müssen nicht für mehrere Konten eindeutig sein. Sie können example.private.com für Konto 111122223333 und für Konto 5555555555 erstellen, vorausgesetzt, dass Ihr ACM-Zertifikat den Domainnamen abdeckt. Verwenden Sie den privaten benutzerdefinierten Domainnamen-ARN zur Identifizierung eines privaten benutzerdefinierten Domainnamens. Diese Kennung gilt nur für private benutzerdefinierte Domainnamen.

Wenn Sie in API Gateway einen privaten benutzerdefinierten Domainnamen erstellen, sind Sie ein API-Anbieter. Sie können Ihren privaten benutzerdefinierten Domainnamen AWS-Konten mithilfe von API Gateway oder AWS Resource Access Manager (AWS RAM) anderen zur Verfügung stellen.

Wenn Sie einen privaten benutzerdefinierten Domainnamen aufrufen, sind Sie ein API-Verbraucher. Sie können einen privaten benutzerdefinierten Domainnamen von Ihrem eigenen AWS-Konto oder einem anderen verwenden AWS-Konto.

Wenn Sie einen privaten benutzerdefinierten Domainnamen verbrauchen, erstellen Sie eine Domainnamenzugriffszuweisung zwischen einem VPC-Endpunkt und einem privaten benutzerdefinierten Domainnamen. Mit einer Domainnamenzugriffszuweisung können API-Verbraucher Ihren privaten benutzerdefinierten Domainnamen aufrufen, während sie vom öffentlichen Internet isoliert sind. Weitere Informationen finden Sie unter Aufgaben von API-Anbietern und API-Nutzern für benutzerdefinierte Domainnamen für private APIs.

Den privaten Zertifikatsschlüssel für Ihren benutzerdefinierten Domainnamen sichern

Wenn Sie ein SSL/TLS certificate using ACM to create your custom domain name for private APIs, ACM generates a public/private key pair anfordern. Das Schlüsselpaar wird beim Import eines Zertifikats generiert. Der öffentliche Schlüssel wird Teil des Zertifikats. Um den privaten Schlüssel sicher zu speichern, erstellt ACM einen weiteren Schlüssel, den so genannten KMS-Schlüssel AWS KMS, mit dem Alias aws/acm. AWS KMS verwendet diesen Schlüssel, um den privaten Schlüssel Ihres Zertifikats zu verschlüsseln. Weitere Informationen finden Sie unter Datenschutz im AWS Certificate Manager des AWS Certificate Manager -Benutzerhandbuchs.

API Gateway verwendet AWS TLS Connection Manager, einen Dienst, auf den nur zugegriffen werden kann AWS-Services, um die privaten Schlüssel Ihres Zertifikats zu sichern und zu verwenden. Wenn Sie Ihr ACM-Zertifikat verwenden, um einen benutzerdefinierten API Gateway-Domänennamen zu erstellen, ordnet API Gateway Ihr Zertifikat dem AWS TLS Connection Manager zu. Wir tun dies, indem wir einen Zuschuss für Ihren AWS KMS AWS verwalteten Schlüssel erstellen. Dieser Zuschuss ermöglicht es dem TLS Connection Manager AWS KMS , den privaten Schlüssel Ihres Zertifikats zu entschlüsseln. TLS Connection Manager verwendet das Zertifikat und den entschlüsselten privaten (Klartext) Schlüssel für den Aufbau einer sicheren Verbindung (SSL/TLS-Sitzung) mit Kunden von API-Gateway-Diensten. Wenn die Zuweisung eines Zertifikat von einem API-Gateway-Service getrennt wird, wird die Berechtigung zurückgezogen. Weitere Informationen finden Sie unter Berechtigungen im AWS Key Management Service -Entwicklerhandbuch.

Weitere Informationen finden Sie unter Datenverschlüsselung im Ruhezustand in Amazon API Gateway.

Überlegungen zu privaten benutzerdefinierten Domainnamen

Die folgenden Überlegungen können sich auf Ihre Verwendung von benutzerdefinierten privaten Domainnamen auswirken.

  • Es dauert etwa 15 Minuten, bis API Gateway Ihren privaten benutzerdefinierten Domainnamen bereitstellt.

  • Wenn Sie Ihr ACM-Zertifikat aktualisieren, dauert es etwa 15 Minuten, bis API Gateway das Update abgeschlossen hat. Während dieser Zeit befindet sich Ihr Domainname im UPDATING Bundesstaat, und Sie können weiterhin darauf zugreifen.

  • Sie müssen eine Domainnamenzugriffszuweisung erstellen, um einen privaten benutzerdefinierten Domainnamen aufzurufen. Nach der Erstellung der Domainnamenzugriffszuweisung dauert es etwa 15 Minuten, bis diese bereitsteht.

  • Sie können gleichnamige private benutzerdefinierte Domainnamen nicht vom selben VPC-Endpunkt aus aufrufen. Wenn Sie beispielsweise arn:aws:apigateway:us-west-2:111122223333:/domainnames/private.example.com+abcd1234 und arn:aws:apigateway:us-west-2:111122223333:/domainnames/private.example.com+xyz000 aufrufen möchten, müssen die einzelnen privaten benutzerdefinierten Domainnamen jeweils einem anderen VPC-Endpunkt zugeordnet werden.

  • Wildcard-Zertifikate werden unterstützt, z. B. ein Zertifikat für *.private.example.com.

  • Unterstützung für benutzerdefinierte Wildcard-Domainnamen werden nicht unterstützt.

  • Es werden ausschließlich RSA-Zertifikate mit einer Schlüssellänge von 2048 Bit und ECDSA-Zertifikate mit einer Schlüssellänge von 256 Bit und 384 Bit unterstützt.

  • Sie können Traffic mit allen von Amazon VPC unterstützten IP-Adresstypen senden. Sie können Dualstack und IPv6 Traffic senden, indem Sie die Einstellungen auf Ihrem VPC-Endpunkt konfigurieren. In API Gateway kann dies nicht verändert werden. Weitere Informationen finden Sie unter IPv6 Unterstützung für Ihre VPC hinzufügen.

  • Die Zuweisung von Basispfaden auf mehreren Ebenen (z. B. eine Zuweisung Ihrer privaten API zu /developers/feature) wird nicht unterstützt.

  • Sie können keine TLS-Mindestversion für Ihren privaten benutzerdefinierten Domainnamen festlegen. Für alle privaten benutzerdefinierten Domainnamen gilt die Sicherheitsrichtlinie TLS-1-2.

  • Sie können eine VPC-Endpunktrichtlinie verwenden, um den Zugriff auf einen privaten benutzerdefinierten Domainnamen zu steuern. Weitere Informationen finden Sie in den Beispielen 4 und 5 unter Verwenden Sie VPC-Endpunktrichtlinien für private Zwecke APIs in API Gateway.

  • Sie müssen eine separate Ressourcenrichtlinie für Ihre private API und für Ihren privaten benutzerdefinierten Domainnamen erstellen. Ein API-Verbraucher benötigt eine Zugriffsgenehmigung von der Ressourcenrichtlinie für private benutzerdefinierte Domainnamen, der privaten API-Ressourcenrichtlinie und allen VPC-Endpunktrichtlinien oder Genehmigungen für die private API, um einen privaten benutzerdefinierten Domainnamen aufrufen zu können.

Überlegungen zur Verwendung privater benutzerdefinierter Domainnamen mit anderen API-Gateway-Ressourcen

Die folgenden Überlegungen können sich darauf auswirken, wie Sie private benutzerdefinierte Domainnamen mit anderen API-Gateway-Ressourcen verwenden.

  • Sie können eine öffentliche API keinem privaten benutzerdefinierten Domainnamen zuordnen, und Sie können eine private API keinem öffentlichen benutzerdefinierten Domainnamen zuordnen.

  • Wenn eine private API einem privaten benutzerdefinierten Domainnamen zugeordnet ist, können Sie den Endpunkttyp der API nicht ändern.

  • Sie können einen öffentlichen benutzerdefinierten Domainnamen nicht zu einem privaten benutzerdefinierten Domainnamen migrieren.

  • Wenn Sie über einen VPC-Endpunkt verfügen, den Sie für den Zugriff auf einen öffentlichen benutzerdefinierten Domainnamen verwenden, können Sie diesen nicht für die Erstellung einer Domainnamenzugriffszuweisung zu einem privaten benutzerdefinierten Domainnamen verwenden.

Unterschiede zwischen privaten und öffentlichen benutzerdefinierten Domainnamen

Im Folgenden werden die Unterschiede zwischen privaten und öffentlichen benutzerdefinierten Domainnamen beschrieben.

  • Private benutzerdefinierte Domainnamen müssen nicht kontenübergreifend eindeutig sein.

  • Ein privater Domainname hat einen ARN und eine Domainnamen-ID. Diese Kennungen identifizieren einen privaten benutzerdefinierten Domainnamen eindeutig und werden nicht für öffentliche benutzerdefinierte Domainnamen generiert.

  • Wenn Sie den verwenden AWS CLI , um Ihren privaten benutzerdefinierten Domainnamen zu aktualisieren oder zu löschen, müssen Sie die Domainnamen-ID angeben. Wenn Sie einen privaten benutzerdefinierten Domainnamen example.com und einen öffentlichen benutzerdefinierten Domainnamen example.com haben und die Domainnamen-ID nicht angeben, wird API Gateway Ihren öffentlichen benutzerdefinierten Domainnamen ändern oder löschen.

Nächste Schritte für benutzerdefinierte Domainnamen für private APIs

Informationen zu den Aufgaben eines API-Anbieters und eines API-Verbrauchers finden Sie unter Aufgaben von API-Anbietern und API-Nutzern für benutzerdefinierte Domainnamen für private APIs.

Anweisungen zum Erstellen eines privaten benutzerdefinierten Domainnamens, den Sie selbst aufrufen können AWS-Konto, finden Sie unterTutorial: Erstellen Sie einen benutzerdefinierten Domainnamen für private Zwecke und rufen Sie ihn auf APIs.

Anweisungen zur Bereitstellung eines weiteren AWS-Konto Zugriffs auf Ihren privaten benutzerdefinierten Domainnamen finden Sie unterAPI-Anbieter: Teilen Sie Ihren privaten benutzerdefinierten Domainnamen mit AWS RAM. Anweisungen zum Verknüpfen Ihres VPC-Endpunkts mit einem privaten benutzerdefinierten Domainnamen in einem anderen AWS-Konto finden Sie unter. API-Verbraucher: Zuweisung Ihres VPC-Endpunkts zu einem mit Ihnen gemeinsam genutzten privaten benutzerdefinierten Domainnamen

Auf dieser Seite

Related resources

Amazon API Gateway API-Referenz
AWS CLI Befehle für Amazon API Gateway
SDKs und Werkzeuge 

Related resources

Amazon API Gateway API-Referenz
AWS CLI Befehle für Amazon API Gateway
SDKs und Werkzeuge 
DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.