Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
VPC-Endpunktrichtlinien für private APIs in API Gateway verwenden
Um die Sicherheit Ihrer privaten API zu verbessern, können Sie eine VPC-Endpunktrichtlinie erstellen. Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie Ihrem VPC-Endpunkt anfügen können. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Services mit VPC-Endpunkten.
Möglicherweise möchten Sie eine VPC-Endpunktrichtlinie erstellen, um Folgendes zu tun:
Erlauben Sie nur bestimmten Organisationen oder Ressourcen, auf Ihren VPC-Endpunkt zuzugreifen und Ihre API aufzurufen.
Verwenden Sie eine einzige Richtlinie und vermeiden Sie sitzungs- oder rollenbasierte Richtlinien, um den Datenverkehr zu Ihrer API zu kontrollieren.
Verschärfen Sie den Sicherheitsbereich Ihrer Anwendung bei der Migration von lokal zu. AWS
Erwägungen zur VPC-Endpunktrichtlinie
-
Die Identität des Aufrufers wird anhand des
Authorization
-Header-Werts bewertet. Je nach IhremauthorizationType
kann dies zu einem403 IncompleteSignatureException
oder einem403 InvalidSignatureException
-Fehler führen. Die folgende Tabelle zeigt dieAuthorization
-Header-Werte für die einzelnenauthorizationType
.authorizationType
Authorization
-Header ausgewertet?Zulässige
Authorization
-Header-WerteNONE
mit der Standardrichtlinie für VollzugriffNein Nicht bestanden NONE
mit einer benutzerdefinierten ZugriffsrichtlinieJa Muss ein gültiger SigV4-Wert sein IAM
Ja Muss ein gültiger SigV4-Wert sein CUSTOM
oderCOGNITO_USER_POOLS
Nein Nicht bestanden Wenn eine Richtlinie den Zugriff auf einen bestimmten IAM-Prinzipal einschränkt, müssen Sie beispielsweise
arn:aws:iam::account-id:role/developer
die MethodeauthorizationType
Ihrer API auf oder setzen.AWS_IAM
NONE
Weitere Anweisungen zum Einstellen derauthorizationType
für eine Methode finden Sie unter. Methoden für REST-APIs in API Gateway-
VPC-Endpunktrichtlinien können zusammen mit API Gateway-Ressourcenrichtlinien verwendet werden. Die API-Gateway-Ressourcenrichtlinie legt fest, welche Principals auf die API zugreifen können. Die Endpunktrichtlinie legt fest, wer auf die VPC zugreifen kann und welche APIs vom VPC-Endpunkt aus aufgerufen werden können. Ihre private API benötigt eine Ressourcenrichtlinie, aber Sie müssen keine benutzerdefinierte VPC-Endpunktrichtlinie erstellen.
Beispiele für VPC-Endpunktrichtlinien
Sie können Richtlinien für Amazon Virtual Private Cloud-Endpunkte für Amazon API Gateway erstellen, in denen Sie folgendes angeben können:
-
Prinzipal, der die Aktionen ausführen kann
-
Aktionen, die ausgeführt werden können
-
Ressourcen, für die Aktionen ausgeführt werden können
Um die Richtlinie dem VPC-Endpunkt anzufügen, müssen Sie die VPC-Konsole verwenden. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Services mit VPC-Endpunkten.
Beispiel 1: VPC-Endpunktrichtlinie, die Zugriff auf zwei APIs gewährt
Die folgende Beispielrichtlinie gewährt über den VPC-Endpunkt, dem die Richtlinie angefügt ist, nur Zugriff auf zwei bestimmte APIs.
{ "Statement": [ { "Principal": "*", "Action": [ "execute-api:Invoke" ], "Effect": "Allow", "Resource": [ "arn:aws:execute-api:
us-east-1
:123412341234
:a1b2c3d4e5
/*", "arn:aws:execute-api:us-east-1
:123412341234
:aaaaa11111
/*" ] } ] }
Beispiel 2: VPC-Endpunktrichtlinie, die Zugriff auf GET-Methoden gewährt
Die folgende Beispielrichtlinie gewährt Benutzern über den VPC-Endpunkt, dem die Richtlinie angefügt ist, Zugriff auf GET
-Methoden für eine bestimmte API.
{ "Statement": [ { "Principal": "*", "Action": [ "execute-api:Invoke" ], "Effect": "Allow", "Resource": [ "arn:aws:execute-api:
us-east-1
:123412341234
:a1b2c3d4e5
/stageName
/GET/*" ] } ] }
Beispiel 3: VPC-Endpunktrichtlinie, die einem bestimmten Benutzer Zugriff auf eine bestimmte API gewährt
Die folgende Beispielrichtlinie gewährt über den VPC-Endpunkt, dem die Richtlinie angefügt ist, einem bestimmten Benutzer Zugriff auf eine bestimmte API.
In diesem Fall müssen Sie die Methode auf oder setzen, da die Richtlinie den Zugriff auf bestimmte IAM-Prinzipale einschränkt. authorizationType
AWS_IAM
NONE
{ "Statement": [ { "Principal": { "AWS": [ "arn:aws:iam::123412341234:user/
MyUser
" ] }, "Action": [ "execute-api:Invoke" ], "Effect": "Allow", "Resource": [ "arn:aws:execute-api:us-east-1
:123412341234
:a1b2c3d4e5
/*" ] } ] }