Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Datenschutz bezieht sich auf den Schutz von Daten während der Übertragung (beim Transport zum und vom API Gateway) und im Ruhezustand (während sie gespeichert sind AWS).
Datenverschlüsselung im Ruhezustand in Amazon API Gateway
Wenn Sie das Caching für eine REST-API aktivieren, können Sie die Cache-Verschlüsselung aktivieren. Weitere Informationen hierzu finden Sie unter Cache-Einstellungen für REST APIs in API Gateway.
Weitere Informationen zum Datenschutz enthält der Blog-Beitrag AWS Shared Responsibility Model and GDPR
Verschlüsselung und Entschlüsselung Ihres privaten Zertifikatschlüssels
Wenn Sie einen benutzerdefinierten Domainnamen für privat erstellen APIs, werden Ihr ACM-Zertifikat und Ihr privater Schlüssel mit einem AWS verwalteten KMS-Schlüssel verschlüsselt, der den Alias aws/acm hat. Sie können die Schlüssel-ID mit diesem Alias in der AWS KMS Konsole unter Verwaltete Schlüssel einsehen.AWS
API Gateway greift nicht direkt auf Ihre ACM-Ressourcen zu. Es verwendet den AWS TLS-Verbindungsmanager, um die privaten Schlüssel für Ihr Zertifikat zu sichern und darauf zuzugreifen. Wenn Sie Ihr ACM-Zertifikat verwenden, um einen benutzerdefinierten API Gateway-Domänennamen für private Zwecke zu erstellen APIs, ordnet API Gateway Ihr Zertifikat dem AWS TLS Connection Manager zu. Dazu erstellen Sie eine Grant-ID für Ihren AWS verwalteten Schlüssel mit dem Präfix aws/acm. AWS KMS Eine Erteilung ist ein Richtlinieninstrument, das es TLS Connection Manager erlaubt, KMS-Schlüssel in kryptografischen Operationen zu verwenden. Die Erteilung erlaubt es dem Empfänger-Prinzipal (TLS Connection Manager), die angegebenen Genehmigungsoperationen für den KMS-Schlüssel aufzurufen, um den privaten Schlüssel Ihres Zertifikats zu entschlüsseln. TLS Connection Manager verwendet dann das Zertifikat und den entschlüsselten privaten (Klartext) Schlüssel für den Aufbau einer sicheren Verbindung (SSL/TLS-Sitzung) mit Kunden von API-Gateway-Diensten. Wenn das Zertifikat von einem benutzerdefinierten API Gateway Gateway-Domänennamen für private Zwecke getrennt wird APIs, wird der Zuschuss zurückgezogen.
Wenn Sie den Zugriff auf den KMS-Schlüssel entfernen möchten, empfehlen wir Ihnen, das Zertifikat mit dem update-service Befehl oder aus dem Dienst zu ersetzen AWS Management Console oder zu löschen. AWS CLI
Verschlüsselungskontext für API Gateway
Ein Verschlüsselungskontext ist ein optionaler Satz von Schlüssel-Wert-Paaren, die kontextbezogene Informationen darüber enthalten, wofür Ihr privater Schlüssel verwendet werden könnte. AWS KMS bindet den Verschlüsselungskontext an die verschlüsselten Daten und verwendet ihn als zusätzliche authentifizierte Daten, um die authentifizierte Verschlüsselung zu unterstützen.
Wenn Ihre TLS-Schlüssel mit API Gateway und TLS Connection Manager verwendet werden, wird der Name Ihres API-Gateway-Dienstes im Verschlüsselungskontext aufgenommen, der zur Verschlüsselung Ihres Schlüssels im Ruhezustand verwendet wird. Sie können überprüfen, für welchen benutzerdefinierten API Gateway Gateway-Domainnamen Ihr Zertifikat und Ihr privater Schlüssel verwendet werden, indem Sie sich den Verschlüsselungskontext in Ihren CloudTrail Protokollen ansehen, wie im nächsten Abschnitt gezeigt, oder indem Sie in der ACM-Konsole die Registerkarte Zugeordnete Ressourcen aufrufen.
Zur Entschlüsselung von Daten wird derselbe Verschlüsselungskontext in der Anforderung übergeben. API Gateway verwendet bei allen kryptografischen AWS KMS-Vorgängen denselben Verschlüsselungskontext, wobei der Schlüssel aws:apigateway:arn und der Wert der Amazon-Ressourcenname (ARN) der PrivateDomainName API-Gateway-Ressource ist.
Im folgenden Beispiel sehen Sie den Verschlüsselungskontext in der Ausgabe einer Operation wie CreateGrant.
"constraints": {
"encryptionContextEquals": {
"aws:acm:arn": "arn:aws:acm:us-west-2:859412291086:certificate/9177097a-f0ae-4be1-93b1-19f911ea4f88",
"aws:apigateway:arn": "arn:aws:apigateway:us-west-2:859412291086:/domainnames/denytest-part1.pdx.sahig.people.aws.dev+cbaeumzjhg"
}
},
"operations": [
"Decrypt"
],
"granteePrincipal": "tlsconnectionmanager.amazonaws.com"Datenverschlüsselung während der Übertragung in Amazon API Gateway
Das mit Amazon API Gateway APIs erstellte Gateway stellt nur HTTPS-Endpunkte zur Verfügung. API Gateway unterstützt keine unverschlüsselten Endpunkte (HTTP).
API Gateway verwaltet die Zertifikate für execute-api-Standardendpunkte. Wenn Sie einen benutzerdefinierten Domainnamen konfigurieren, geben Sie das Zertifikat für den Domainnamen an. Als bewährte Methode sollten Sie keine PIN-Zertifikate verwenden.
Für mehr Sicherheit können Sie eine minimale Transport Layer Security (TLS) -Protokollversion wählen, die für Ihre benutzerdefinierte API Gateway Gateway-Domain durchgesetzt werden soll. WebSocket APIs und HTTP APIs unterstützen nur TLS 1.2. Weitere Informationen hierzu finden Sie unter Wählen Sie eine Sicherheitsrichtlinie für Ihre benutzerdefinierte REST-API-Domain in API Gateway aus.
Sie können auch eine CloudFront Amazon-Distribution mit einem benutzerdefinierten SSL-Zertifikat in Ihrem Konto einrichten und diese mit Regional verwenden APIs. Anschließend können Sie die Sicherheitsrichtlinie für die CloudFront -Verteilung mit TLS 1.1 oder höher entsprechend Ihren Sicherheits- und Compliance-Anforderungen konfigurieren.
Weitere Informationen zum Datenschutz enthält Schutz Ihrer REST-APIs in API Gateway und der Blog-Beitrag AWS Shared Responsibility Model and GDPR
