VPC-Endpunktrichtlinien für private APIs in API Gateway verwenden
Sie können die Sicherheit Ihrer privaten APIs verbessern, indem Sie API Gateway für die Verwendung eines Schnittstellen-VPC-Endpunktes konfigurieren. Schnittstellenendpunkte werden von AWS PrivateLink unterstützt, einer Technologie, mit der Sie privat über private IP-Adressen auf AWS-Services zugreifen können. Weitere Informationen zum Erstellen von VPC-Endpunkten finden Sie unter Erstellen eines Schnittstellenendpunkts.
Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie einem VPC-Schnittstellenendpunkt anfügen können, um den Zugriff auf den Endpunkt zu steuern. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Services mit VPC-Endpunkten. Mithilfe einer Endpunktrichtlinie können Sie verhindern, dass der Datenverkehr aus Ihrem internen Netzwerk auf Ihre privaten APIs zugreift. Sie können den Zugriff auf bestimmte private APIs, auf die über den VPC-Endpunkt zugegriffen werden kann, zulassen oder ablehnen.
VPC-Endpunktrichtlinien können zusammen mit API Gateway-Ressourcenrichtlinien verwendet werden. Die Ressourcenrichtlinie wird verwendet, um anzugeben, welche Prinzipale auf die API zugreifen können. Die Endpunktrichtlinie gibt an, welche privaten APIs über den VPC-Endpunkt aufgerufen werden können. Weitere Informationen zu Ressourcenrichtlinien finden Sie unter Zugriff auf eine API mit API Gateway-Ressourcenrichtlinien steuern.
Beispiele für VPC-Endpunktrichtlinien
Sie können Richtlinien für Amazon Virtual Private Cloud-Endpunkte für Amazon API Gateway erstellen, in denen Sie folgendes angeben können:
-
Prinzipal, der die Aktionen ausführen kann
-
Aktionen, die ausgeführt werden können
-
Ressourcen, für die Aktionen ausgeführt werden können
Um die Richtlinie dem VPC-Endpunkt anzufügen, müssen Sie die VPC-Konsole verwenden. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Services mit VPC-Endpunkten.
Beispiel 1: VPC-Endpunktrichtlinie, die Zugriff auf zwei APIs gewährt
Die folgende Beispielrichtlinie gewährt über den VPC-Endpunkt, dem die Richtlinie angefügt ist, nur Zugriff auf zwei bestimmte APIs.
{ "Statement": [ { "Principal": "*", "Action": [ "execute-api:Invoke" ], "Effect": "Allow", "Resource": [ "arn:aws:execute-api:
us-east-1
:123412341234
:a1b2c3d4e5
/*", "arn:aws:execute-api:us-east-1
:123412341234
:aaaaa11111
/*" ] } ] }
Beispiel 2: VPC-Endpunktrichtlinie, die Zugriff auf GET-Methoden gewährt
Die folgende Beispielrichtlinie gewährt Benutzern über den VPC-Endpunkt, dem die Richtlinie angefügt ist, Zugriff auf GET
-Methoden für eine bestimmte API.
{ "Statement": [ { "Principal": "*", "Action": [ "execute-api:Invoke" ], "Effect": "Allow", "Resource": [ "arn:aws:execute-api:
us-east-1
:123412341234
:a1b2c3d4e5
/stageName
/GET/*" ] } ] }
Beispiel 3: VPC-Endpunktrichtlinie, die einem bestimmten Benutzer Zugriff auf eine bestimmte API gewährt
Die folgende Beispielrichtlinie gewährt über den VPC-Endpunkt, dem die Richtlinie angefügt ist, einem bestimmten Benutzer Zugriff auf eine bestimmte API.
{ "Statement": [ { "Principal": { "AWS": [ "arn:aws:iam::123412341234:user/
MyUser
" ] }, "Action": [ "execute-api:Invoke" ], "Effect": "Allow", "Resource": [ "arn:aws:execute-api:us-east-1
:123412341234
:a1b2c3d4e5
/*" ] } ] }