VPC-Endpunktrichtlinien für private APIs in API Gateway verwenden - Amazon API Gateway
Erwägungen zur VPC-EndpunktrichtlinieBeispiele für VPC-EndpunktrichtlinienBeispiel 1: VPC-Endpunktrichtlinie, die Zugriff auf zwei APIs gewährtBeispiel 2: VPC-Endpunktrichtlinie, die Zugriff auf GET-Methoden gewährtBeispiel 3: VPC-Endpunktrichtlinie, die einem bestimmten Benutzer Zugriff auf eine bestimmte API gewährt

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

VPC-Endpunktrichtlinien für private APIs in API Gateway verwenden

Um die Sicherheit Ihrer privaten API zu verbessern, können Sie eine VPC-Endpunktrichtlinie erstellen. Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie Ihrem VPC-Endpunkt anfügen können. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Services mit VPC-Endpunkten.

Möglicherweise möchten Sie eine VPC-Endpunktrichtlinie erstellen, um Folgendes zu tun:

  • Erlauben Sie nur bestimmten Organisationen oder Ressourcen, auf Ihren VPC-Endpunkt zuzugreifen und Ihre API aufzurufen.

  • Verwenden Sie eine einzige Richtlinie und vermeiden Sie sitzungs- oder rollenbasierte Richtlinien, um den Datenverkehr zu Ihrer API zu kontrollieren.

  • Verschärfen Sie den Sicherheitsbereich Ihrer Anwendung bei der Migration von lokal zu. AWS

Erwägungen zur VPC-Endpunktrichtlinie

  • Die Identität des Aufrufers wird anhand des Authorization-Header-Werts bewertet. Je nach Ihrem authorizationType kann dies zu einem 403 IncompleteSignatureException oder einem 403 InvalidSignatureException-Fehler führen. Die folgende Tabelle zeigt die Authorization-Header-Werte für die einzelnen authorizationType.

    authorizationType

    Authorization-Header ausgewertet?

    Zulässige Authorization-Header-Werte

    NONE mit der Standardrichtlinie für Vollzugriff Nein Nicht bestanden
    NONE mit einer benutzerdefinierten Zugriffsrichtlinie Ja Muss ein gültiger SigV4-Wert sein
    IAM Ja Muss ein gültiger SigV4-Wert sein
    CUSTOM oder COGNITO_USER_POOLS Nein Nicht bestanden

  • Wenn eine Richtlinie den Zugriff auf einen bestimmten IAM-Prinzipal einschränkt, müssen Sie beispielsweise arn:aws:iam::account-id:role/developer die Methode authorizationType Ihrer API auf oder setzen. AWS_IAM NONE Weitere Anweisungen zum Einstellen der authorizationType für eine Methode finden Sie unter. Methoden für REST-APIs in API Gateway

  • VPC-Endpunktrichtlinien können zusammen mit API Gateway-Ressourcenrichtlinien verwendet werden. Die API-Gateway-Ressourcenrichtlinie legt fest, welche Principals auf die API zugreifen können. Die Endpunktrichtlinie legt fest, wer auf die VPC zugreifen kann und welche APIs vom VPC-Endpunkt aus aufgerufen werden können. Ihre private API benötigt eine Ressourcenrichtlinie, aber Sie müssen keine benutzerdefinierte VPC-Endpunktrichtlinie erstellen.

Beispiele für VPC-Endpunktrichtlinien

Sie können Richtlinien für Amazon Virtual Private Cloud-Endpunkte für Amazon API Gateway erstellen, in denen Sie folgendes angeben können:

  • Prinzipal, der die Aktionen ausführen kann

  • Aktionen, die ausgeführt werden können

  • Ressourcen, für die Aktionen ausgeführt werden können

Um die Richtlinie dem VPC-Endpunkt anzufügen, müssen Sie die VPC-Konsole verwenden. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Services mit VPC-Endpunkten.

Beispiel 1: VPC-Endpunktrichtlinie, die Zugriff auf zwei APIs gewährt

Die folgende Beispielrichtlinie gewährt über den VPC-Endpunkt, dem die Richtlinie angefügt ist, nur Zugriff auf zwei bestimmte APIs.

{
    "Statement": [
        {
            "Principal": "*",
            "Action": [
                "execute-api:Invoke"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/*",
                "arn:aws:execute-api:us-east-1:123412341234:aaaaa11111/*"
            ]
        }
    ]
}

Beispiel 2: VPC-Endpunktrichtlinie, die Zugriff auf GET-Methoden gewährt

Die folgende Beispielrichtlinie gewährt Benutzern über den VPC-Endpunkt, dem die Richtlinie angefügt ist, Zugriff auf GET-Methoden für eine bestimmte API.

{
    "Statement": [
        {
            "Principal": "*",
            "Action": [
                "execute-api:Invoke"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/stageName/GET/*"
            ]
        }
    ]
}

Beispiel 3: VPC-Endpunktrichtlinie, die einem bestimmten Benutzer Zugriff auf eine bestimmte API gewährt

Die folgende Beispielrichtlinie gewährt über den VPC-Endpunkt, dem die Richtlinie angefügt ist, einem bestimmten Benutzer Zugriff auf eine bestimmte API.

In diesem Fall müssen Sie die Methode auf oder setzen, da die Richtlinie den Zugriff auf bestimmte IAM-Prinzipale einschränkt. authorizationType AWS_IAM NONE

{
    "Statement": [
        {
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123412341234:user/MyUser"
                ]
            },
            "Action": [
                "execute-api:Invoke"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/*"
            ]
        }
    ]
}