Tutorial: Erstellen einer privaten REST-API
In diesem Tutorial erstellen Sie eine private REST-API. Clients können nur von Ihrer Amazon VPC aus auf die API zugreifen. Die API ist vom öffentlichen Internet isoliert, was eine übliche Sicherheitsanforderung ist.
Dieses Tutorial nimmt ungefähr 30 Minuten in Anspruch. Zunächst verwenden Sie eine AWS CloudFormation-Vorlage, um eine Amazon VPC, einen VPC-Endpunkt sowie eine AWS Lambda-Funktion zu erstellen und eine Amazon-EC2-Instance zu launchen, mit der Sie Ihre API testen. Als Nächstes verwenden Sie die AWS Management Console, um eine private API zu erstellen und eine Ressourcenrichtlinie anzuhängen, die den Zugriff nur von Ihrem VPC-Endpunkt aus zulässt. Zuletzt testen Sie Ihre API.
Um dieses Tutorial durchzuführen, benötigen Sie ein AWS-Konto und einen AWS Identity and Access Management-Benutzer mit Konsolenzugriff. Weitere Informationen finden Sie unter Einrichten der API Gateway.
In diesem Tutorial wird AWS Management Console verwendet. Eine AWS CloudFormation-Vorlage, die diese API und alle zugehörigen Ressourcen erstellt, finden Sie unter template.yaml.
Themen
- Schritt 1: Erstellen von Abhängigkeiten
- Schritt 2: Erstellen einer privaten API
- Schritt 3: Erstellen Sie eine Methode und Integration
- Schritt 4: Anhängen einer Ressourcenrichtlinie
- Schritt 5: Bereitstellen Ihrer API
- Schritt 6: Stellen Sie sicher, dass Ihre API nicht öffentlich zugänglich ist
- Schritt 7: Verbinden Sie sich mit einer Instance in Ihrer VPC und rufen Sie Ihre API auf
- Schritt 8: Bereinigen
- Nächste Schritte: Automatisieren mit AWS CloudFormation
Schritt 1: Erstellen von Abhängigkeiten
Laden Sie diese AWS CloudFormation-Vorlage herunter und entpacken Sie sie. Sie verwenden die Vorlage, um alle Abhängigkeiten für Ihre private API zu erstellen, einschließlich einer Amazon VPC, eines VPC-Endpunkts und einer Lambda-Funktion, die als Backend Ihrer API dient. Sie erstellen die private API später.
So erstellen Sie einen AWS CloudFormation-Stack
Öffnen Sie die AWS CloudFormation-Konsole unter https://console.aws.amazon.com/cloudformation
. -
Wählen Sie Stack erstellen und dann Mit neuen Ressourcen (Standard) aus.
-
Wählen Sie unter Vorlage angeben die Option Vorlagendatei hochladen aus.
-
Wählen Sie die Vorlage aus, die Sie heruntergeladen haben.
-
Wählen Sie Weiter aus.
-
Geben Sie für Stack-Name die Zeichenfolge
private-api-tutorialein und klicken Sie auf Weiter. -
Wählen Sie in Stack-Optionen konfigurieren die Option Weiter aus.
-
Bestätigen Sie in Funktionen, dass AWS CloudFormation IAM-Ressourcen in Ihrem Konto erstellen darf.
-
Wählen Sie Absenden aus.
AWS CloudFormation stellt die Abhängigkeiten für Ihre API bereit, was einige Minuten dauern kann. Wenn der Status Ihres AWS CloudFormation-Stacks CREATE_COMPLETE lautet, wählen Sie Ausgaben aus. Notieren Sie sich Ihre VPC-Endpunkt-ID. Sie benötigen sie für spätere Schritte in diesem Tutorial.
Schritt 2: Erstellen einer privaten API
Sie erstellen eine private API, um nur Clients in Ihrer VPC den Zugriff darauf zu ermöglichen.
Erstellen einer privaten API
Melden Sie sich bei der API Gateway-Konsole unter https://console.aws.amazon.com/apigateway
an. -
Wählen Sie API erstellen und dann für Rest-API die Option Erstellen aus.
-
Geben Sie unter API name (API-Name)
private-api-tutorialein. -
Wählen Sie für API endpoint type (API-Endpunkttyp) die Option Private (Privat) aus.
-
Für VPC-Endpunkt-IDs geben Sie die VPC-Endpunkt-ID aus den Ausgaben Ihres AWS CloudFormation-Stacks ein.
-
Wählen Sie Create API (API erstellen) aus.
Schritt 3: Erstellen Sie eine Methode und Integration
Sie erstellen eine GET Methode und eine Lambda-Integration, um GET-Anfragen an Ihre API zu bearbeiten. Wenn ein Client Ihre API aufruft, sendet API Gateway die Anfrage an die Lambda-Funktion, die Sie in Schritt 1 erstellt haben und gibt dann eine Antwort an den Client zurück.
So erstellen Sie eine Methode und Integration
Melden Sie sich bei der API Gateway-Konsole unter https://console.aws.amazon.com/apigateway
an. -
Wählen Sie Ihre API aus.
-
Wählen Sie Methode erstellen aus.
-
Für Methodentyp wählen Sie
GETaus. -
Wählen Sie für den Integration type (Integrationstyp) die Option Lambda function (Lambda-Funktion) aus.
-
Schalten Sie die Lambda-Proxy-Integration ein. Mit einer Lambda-Proxy-Integration sendet API Gateway ein Ereignis mit einer definierten Struktur an Lambda und transformiert die Antwort von Ihrer Lambda-Funktion in eine HTTP-Antwort.
-
Wählen Sie für Lambda-Funktion die Funktion aus, die Sie mit der AWS CloudFormation-Vorlage in Schritt 1 erstellt haben. Der Name der Funktion beginnt mit
private-api-tutorial. -
Wählen Sie Methode erstellen aus.
Schritt 4: Anhängen einer Ressourcenrichtlinie
Sie hängen Ihrer API eine Ressourcenrichtlinie an, die es Clients ermöglicht, Ihre API nur über Ihren VPC-Endpunkt aufzurufen. Um den Zugriff auf Ihre API weiter einzuschränken, können Sie auch eine VPC-Endpunktrichtlinie für Ihren VPC-Endpunkt konfigurieren, aber das ist für dieses Tutorial nicht erforderlich.
So hängen Sie eine Ressourcenrichtlinie an
Melden Sie sich bei der API Gateway-Konsole unter https://console.aws.amazon.com/apigateway
an. -
Wählen Sie Ihre API aus.
-
Wählen Sie Ressourcenrichtlinie aus und klicken Sie dann auf Richtlinie erstellen.
-
Geben Sie die folgende Richtlinie ein: Ersetzen Sie
vpceIDdurch Ihre VPC-Endpunkt-ID aus den Ausgaben Ihres AWS CloudFormation-Stacks.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "execute-api:Invoke", "Resource": "execute-api:/*", "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpceID" } } }, { "Effect": "Allow", "Principal": "*", "Action": "execute-api:Invoke", "Resource": "execute-api:/*" } ] } -
Wählen Sie Änderungen speichern.
Schritt 5: Bereitstellen Ihrer API
Als Nächstes stellen Sie Ihre API bereit, um sie Clients in Ihrer Amazon VPC zur Verfügung zu stellen.
So stellen Sie eine API bereit
Melden Sie sich bei der API Gateway-Konsole unter https://console.aws.amazon.com/apigateway
an. -
Wählen Sie Ihre API aus.
Klicken Sie auf Deploy API.
Wählen Sie für Stufe die Option Neue Stufe aus.
Geben Sie für Stage name (Stufenname)
testein.(Optional) Geben Sie unter Description (Beschreibung) eine Beschreibung ein.
Wählen Sie Deploy (Bereitstellen) aus.
Jetzt sind Sie bereit, Ihre API zu testen.
Schritt 6: Stellen Sie sicher, dass Ihre API nicht öffentlich zugänglich ist
Verwenden Sie, curl um zu überprüfen, ob Sie Ihre API nicht außerhalb Ihrer Amazon VPC aufrufen können.
So testen Sie Ihre API
Melden Sie sich bei der API-Gateway-Konsole unter https://console.aws.amazon.com/apigateway
an. -
Wählen Sie Ihre API aus.
-
Wählen Sie im Hauptnavigationsbereich Stufen aus und klicken Sie dann auf die Stufe Test.
-
Wählen Sie unter Stufendetails das Kopiersymbol aus, um die Aufruf-URL Ihrer API zu kopieren. Die URL sieht folgendermaßen aus
https://. Für den VPC-Endpunkt, den Sie in Schritt 1 erstellt haben, ist privates DNS aktiviert, sodass Sie die bereitgestellte URL zum Aufrufen Ihrer API verwenden können.abcdef123.execute-api.us-west-2.amazonaws.com/test -
Verwenden Sie curl, um zu versuchen, Ihre API von außerhalb Ihrer VPC aufzurufen.
curl https://abcdef123.execute-api.us-west-2.amazonaws.com/testCurl zeigt an, dass der Endpunkt Ihrer API nicht aufgelöst werden kann. Wenn Sie eine andere Antwort erhalten, gehen Sie zurück zu Schritt 2 und stellen Sie sicher, dass Sie Privat für den Endpunkttyp Ihrer API auswählen.
curl: (6) Could not resolve host:abcdef123.execute-api.us-west-2.amazonaws.com/test
Als Nächstes stellen Sie eine Verbindung zu einer Amazon-EC2-Instance in Ihrer VPC her, um Ihre API aufzurufen.
Schritt 7: Verbinden Sie sich mit einer Instance in Ihrer VPC und rufen Sie Ihre API auf
Als Nächstes testen Sie Ihre API aus Ihrer Amazon VPC heraus. Um auf Ihre private API zuzugreifen, stellen Sie eine Verbindung zu einer Amazon-EC2-Instance in Ihrer VPC her und verwenden dann curl, um Ihre API aufzurufen. Sie verwenden Systems-Manager Session-Manager, um eine Verbindung mit Ihrer Instance im Browser herzustellen.
So testen Sie Ihre API
Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/
. -
Wählen Sie Instances.
-
Wählen Sie die Instance mit dem Namen private-api-tutorial aus, die Sie mit der AWS CloudFormation-Vorlage in Schritt 1 erstellt haben.
-
Wählen Sie Verbinden und wählen Sie dann Session-Manager.
-
Wählen Sie Verbinden , um eine browserbasierte Sitzung für Ihre Instance zu starten.
-
Verwenden Sie in Ihrer Session-Manager-Sitzung curl, um Ihre API aufzurufen. Sie können Ihre API aufrufen, da Sie eine Instance in Ihrer Amazon VPC verwenden.
curl https://abcdef123.execute-api.us-west-2.amazonaws.com/testStellen Sie sicher, dass Sie die Antwort erhalte
Hello from Lambda!.
Sie haben erfolgreich eine API erstellt, auf die nur von Ihrer Amazon VPC aus zugegriffen werden kann und dann überprüft, dass sie funktioniert.
Schritt 8: Bereinigen
Um unnötige Kosten zu vermeiden, löschen Sie die Ressourcen, die Sie im Rahmen dieses Tutorials erstellt haben. Mit den folgenden Schritten werden Ihre REST-API und Ihr AWS CloudFormation-Stack gelöscht.
So löschen Sie eine REST-API
Melden Sie sich bei der API Gateway-Konsole unter https://console.aws.amazon.com/apigateway
an. -
Wählen Sie auf der Seite APIs eine API aus. Wählen Sie API-Aktionen aus, klicken Sie auf API löschen und bestätigen Sie anschließend Ihre Auswahl.
So löschen Sie einen AWS CloudFormation-Stack
Öffnen Sie die AWS CloudFormation-Konsole unter https://console.aws.amazon.com/cloudformation
. -
Wählen Sie Ihren AWS CloudFormation-Stack aus.
-
Wählen Sie Löschen und bestätigen Sie dann Ihre Auswahl.
Nächste Schritte: Automatisieren mit AWS CloudFormation
Sie können die Erstellung und Bereinigung aller an diesem Tutorial beteiligten AWS Ressourcen automatisieren. Eine vollständige AWS CloudFormation-Beispielvorlage finden Sie unter template.yaml.
