VPC-Endpunktrichtlinien für private APIs in API Gateway verwenden - Amazon API Gateway

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

VPC-Endpunktrichtlinien für private APIs in API Gateway verwenden

Sie können die Sicherheit Ihrer privaten APIs verbessern, indem Sie API Gateway für die Verwendung eines Schnittstellen-VPC-Endpunktes konfigurieren. Schnittstellenendpunkte werden von AWS PrivateLink unterstützt, einer Technologie, mit der Sie privat über private IP-Adressen auf AWS-Services zugreifen können. Weitere Informationen zum Erstellen von VPC-Endpunkten finden Sie unter Erstellen eines Schnittstellenendpunkts.

Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie einem VPC-Schnittstellenendpunkt anfügen können, um den Zugriff auf den Endpunkt zu steuern. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Services mit VPC-Endpunkten. Mithilfe einer Endpunktrichtlinie können Sie verhindern, dass der Datenverkehr aus Ihrem internen Netzwerk auf Ihre privaten APIs zugreift. Sie können den Zugriff auf bestimmte private APIs, auf die über den VPC-Endpunkt zugegriffen werden kann, zulassen oder ablehnen.

VPC-Endpunktrichtlinien können zusammen mit API Gateway-Ressourcenrichtlinien verwendet werden. Die Ressourcenrichtlinie wird verwendet, um anzugeben, welche Prinzipale auf die API zugreifen können. Die Endpunktrichtlinie gibt an, welche privaten APIs über den VPC-Endpunkt aufgerufen werden können. Weitere Informationen zu Ressourcenrichtlinien finden Sie unter Zugriff auf eine API mit API Gateway-Ressourcenrichtlinien steuern.

Erwägungen zur VPC-Endpunktrichtlinie

  • Wenn eine Richtlinie die IAM-Prinzipale einschränkt, müssen den authorizationType der Methode auf AWS_IAM oder NONE festlegen.

  • Die Identität des Aufrufers wird anhand des Authorization-Header-Werts bewertet. Je nach Ihrem authorizationType kann dies zu einem 403 IncompleteSignatureException oder einem 403 InvalidSignatureException-Fehler führen. Die folgende Tabelle zeigt die Authorization-Header-Werte für die einzelnen authorizationType.

    authorizationType

    Authorization-Header ausgewertet?

    Zulässige Authorization-Header-Werte

    NONE mit der Standardrichtlinie für Vollzugriff Nein Nicht bestanden
    NONE mit einer benutzerdefinierten Zugriffsrichtlinie Ja Muss ein gültiger SigV4-Wert sein
    IAM Ja Muss ein gültiger SigV4-Wert sein
    CUSTOM oder COGNITO_USER_POOLS Nein Nicht bestanden

Beispiele für VPC-Endpunktrichtlinien

Sie können Richtlinien für Amazon Virtual Private Cloud-Endpunkte für Amazon API Gateway erstellen, in denen Sie folgendes angeben können:

  • Prinzipal, der die Aktionen ausführen kann

  • Aktionen, die ausgeführt werden können

  • Ressourcen, für die Aktionen ausgeführt werden können

Um die Richtlinie dem VPC-Endpunkt anzufügen, müssen Sie die VPC-Konsole verwenden. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Services mit VPC-Endpunkten.

Beispiel 1: VPC-Endpunktrichtlinie, die Zugriff auf zwei APIs gewährt

Die folgende Beispielrichtlinie gewährt über den VPC-Endpunkt, dem die Richtlinie angefügt ist, nur Zugriff auf zwei bestimmte APIs.

{ "Statement": [ { "Principal": "*", "Action": [ "execute-api:Invoke" ], "Effect": "Allow", "Resource": [ "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/*", "arn:aws:execute-api:us-east-1:123412341234:aaaaa11111/*" ] } ] }

Beispiel 2: VPC-Endpunktrichtlinie, die Zugriff auf GET-Methoden gewährt

Die folgende Beispielrichtlinie gewährt Benutzern über den VPC-Endpunkt, dem die Richtlinie angefügt ist, Zugriff auf GET-Methoden für eine bestimmte API.

{ "Statement": [ { "Principal": "*", "Action": [ "execute-api:Invoke" ], "Effect": "Allow", "Resource": [ "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/stageName/GET/*" ] } ] }

Beispiel 3: VPC-Endpunktrichtlinie, die einem bestimmten Benutzer Zugriff auf eine bestimmte API gewährt

Die folgende Beispielrichtlinie gewährt über den VPC-Endpunkt, dem die Richtlinie angefügt ist, einem bestimmten Benutzer Zugriff auf eine bestimmte API.

{ "Statement": [ { "Principal": { "AWS": [ "arn:aws:iam::123412341234:user/MyUser" ] }, "Action": [ "execute-api:Invoke" ], "Effect": "Allow", "Resource": [ "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/*" ] } ] }