Zugriff auf eine API mit API Gateway-Ressourcenrichtlinien steuern - Amazon API Gateway

Zugriff auf eine API mit API Gateway-Ressourcenrichtlinien steuern

Amazon API Gateway-Ressourcenrichtlinien sind JSON-Richtliniendokumente, die Sie an eine API anhängen, um zu steuern, ob ein bestimmter Prinzipalbenutzer (normalerweise eine IAM-Rolle oder -Gruppe) die API aufrufen kann. Sie können API Gateway-Ressourcenrichtlinien verwenden, damit Ihre API sicher aufgerufen werden kann:

  • Benutzer aus einem bestimmten AWS-Konto.

  • Angegebene Quell-IP-Adressbereiche oder CIDR-Blöcke.

  • Angegebene Virtual Private Clouds (VPCs) oder VPC-Endpunkte (in einem beliebigen Konto).

Sie können Ressourcenrichtlinien für alle API-Endpunkttypen in API Gateway verwenden: privat, edge-optimiert und regional.

Für private APIs können Sie Ressourcenrichtlinien zusammen mit VPC-Endpunktrichtlinien verwenden, um zu steuern, welche Prinzipale Zugriff auf welche Ressourcen und Aktionen erhalten sollen. Weitere Informationen finden Sie unter VPC-Endpunktrichtlinien für private APIs in API Gateway verwenden.

Sie können eine Ressourcenrichtlinie mit der AWS Management Console, der AWS-CLI oder AWS-SDKs an eine API anfügen.

API-Gateway-Ressourcenrichtlinien unterscheiden sich von IAM-identitätsbasierten Richtlinien. IAM-identitätsbasierte Richtlinien sind IAM-Benutzern, -Gruppen oder -Rollen zugeordnet und definieren, welche Aktionen diese Identitäten mit welchen Ressourcen ausführen können. API Gateway-Ressourcenrichtlinien werden an Ressourcen angehängt. Eine detailliertere Beschreibung der Unterschiede zwischen identitätsbasierten Richtlinien und Ressourcenrichtlinien finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien.

Sie können API Gateway-Ressourcenrichtlinien zusammen mit IAM-Richtlinien verwenden.