Tutorial: Aufbau einer privaten REST-API
In diesem Tutorial erstellen Sie eine private REST-API. Clients können nur von Ihrer Amazon VPC aus auf die API zugreifen. Die API ist vom öffentlichen Internet isoliert, was eine übliche Sicherheitsanforderung ist.
Dieses Tutorial nimmt ungefähr 30 Minuten in Anspruch. Zunächst verwenden Sie eine AWS CloudFormation-Vorlage, um eine Amazon VPC, einen VPC-Endpunkt sowie eine AWS Lambda-Funktion zu erstellen und eine Amazon-EC2-Instance zu launchen, mit der Sie Ihre API testen. Als Nächstes verwenden Sie die AWS Management Console, um eine private API zu erstellen und eine Ressourcenrichtlinie anzuhängen, die den Zugriff nur von Ihrem VPC-Endpunkt aus zulässt. Zuletzt testen Sie Ihre API.
Um dieses Tutorial durchzuführen, benötigen Sie ein AWS-Konto und einen AWS Identity and Access Management-Benutzer mit Konsolenzugriff. Weitere Informationen finden Sie unter Voraussetzungen für die ersten Schritte mit API Gateway.
In diesem Tutorial wird verwendet AWS Management Console. Eine AWS CloudFormation-Vorlage, die diese API und alle zugehörigen Ressourcen erstellt, finden Sie unter template.yaml.
Themen
- Schritt 1: Erstellen von Abhängigkeiten
- Schritt 2: Erstellen einer privaten API
- Schritt 3: Erstellen Sie eine Methode und Integration
- Schritt 4: Anhängen einer Ressourcenrichtlinie
- Schritt 5: Bereitstellen Ihrer API
- Schritt 6: Stellen Sie sicher, dass Ihre API nicht öffentlich zugänglich ist
- Schritt 7: Verbinden Sie sich mit einer Instance in Ihrer VPC und rufen Sie Ihre API auf
- Schritt 8: Bereinigen
- Nächste Schritte: Automatisieren mit AWS CloudFormation
Schritt 1: Erstellen von Abhängigkeiten
Laden Sie diese AWS CloudFormation-Vorlage herunter und entpacken Sie sie. Sie verwenden die Vorlage, um alle Abhängigkeiten für Ihre private API zu erstellen, einschließlich einer Amazon VPC, eines VPC-Endpunkts und einer Lambda-Funktion, die als Backend Ihrer API dient. Sie erstellen die private API später.
So erstellen Sie einen AWS CloudFormation-Stack
Öffnen Sie die AWS CloudFormation-Konsole unter https://console.aws.amazon.com/cloudformation
. -
Wählen Sie Create stack (Stack erstellen) und dann With new resources (standard) (Mit neuen Ressourcen (Standard)) aus.
-
Wählen Sie unter Specify template (Vorlage angeben) die Option Upload a template file (Vorlagendatei hochladen)aus.
-
Wählen Sie die Vorlage aus, die Sie heruntergeladen haben.
-
Wählen Sie Next.
-
Geben Sie für Stack-Name
private-api-tutorialein und klicken Sie auf Weiter. -
Wählen Sie für Stack-Optionen konfigurieren die Option Weiter.
-
Bestätigen Sie bei Funktionen, dass AWS CloudFormation IAM-Ressourcen in Ihrem Konto erstellen kann.
-
Wählen Sie Create stack (Stack erstellen) aus.
AWS CloudFormation stellt die Abhängigkeiten für Ihre API bereit, was einige Minuten dauern kann. Wenn der Status Ihres AWS CloudFormation-Stacks CREATE_COMPLETE lautet, wählen Sie Ausgaben aus. Notieren Sie sich Ihre VPC-Endpunkt-ID. Sie benötigen sie für spätere Schritte in diesem Tutorial.
Schritt 2: Erstellen einer privaten API
Sie erstellen eine private API, um nur Clients in Ihrer VPC den Zugriff darauf zu ermöglichen.
Erstellen einer privaten API
Melden Sie sich bei der API Gateway-Konsole unter https://console.aws.amazon.com/apigateway
an. -
Wählen Sie API erstellen und dann für Rest-API die Option Erstellen aus.
-
Geben Sie unter API name (API-Name)
private-api-tutorialein. -
Wählen Sie für Endpunkttyp die Option Privat aus.
-
Geben Sie für VPC-Endpunkt-IDs die VPC-Endpunkt-ID aus den Ausgaben Ihres AWS CloudFormation-Stacks ein.
-
Wählen Sie Create aus.
Schritt 3: Erstellen Sie eine Methode und Integration
Sie erstellen eine GET Methode und eine Lambda-Integration, um GET-Anfragen an Ihre API zu bearbeiten. Wenn ein Client Ihre API aufruft, sendet API Gateway die Anfrage an die Lambda-Funktion, die Sie in Schritt 1 erstellt haben und gibt dann eine Antwort an den Client zurück.
So erstellen Sie eine Methode und Integration
Melden Sie sich bei der API Gateway-Konsole unter https://console.aws.amazon.com/apigateway
an. -
Wählen Sie Ihre API aus.
-
Wählen Sie Aktionen und dann Methode erstellen.
-
Wählen Sie GET und dann das Häkchen, um Ihre Auswahl zu bestätigen.
-
Wählen Sie für den Integrationstypdie Lambda-Funktion
-
Wählen Sie Lambda-Proxy-Integration verwenden. Mit einer Lambda-Proxy-Integration sendet API Gateway ein Ereignis mit einer definierten Struktur an Lambda und transformiert die Antwort von Ihrer Lambda-Funktion in eine HTTP-Antwort.
-
Wählen Sie für Lambda-Funktion die Funktion aus, die Sie mit der AWS CloudFormation-Vorlage in Schritt 1 erstellt haben. Der Name der Funktion beginnt mit
private-api-tutorial. -
Wählen Sie Speichern und dann OK, um zu bestätigen, dass Sie API Gateway die Berechtigung zum Aufrufen Ihrer Lambda-Funktion erteilen.
Schritt 4: Anhängen einer Ressourcenrichtlinie
Sie hängen Ihrer API eine Ressourcenrichtlinie an, die es Clients ermöglicht, Ihre API nur über Ihren VPC-Endpunkt aufzurufen. Um den Zugriff auf Ihre API weiter einzuschränken, können Sie auch eine VPC-Endpunktrichtlinie für Ihren VPC-Endpunkt konfigurieren, aber das ist für dieses Tutorial nicht erforderlich.
So hängen Sie eine Ressourcenrichtlinie an
Melden Sie sich bei der API Gateway-Konsole unter https://console.aws.amazon.com/apigateway
an. -
Wählen Sie Ihre API aus.
-
Wählen Sie Ressourcenrichtlinieaus.
-
Geben Sie die folgende Richtlinie ein: Ersetzen Sie
vpceIDdurch Ihre VPC-Endpunkt-ID aus den Ausgaben Ihres AWS CloudFormation-Stacks.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "execute-api:Invoke", "Resource": "execute-api:/*", "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpceID" } } }, { "Effect": "Allow", "Principal": "*", "Action": "execute-api:Invoke", "Resource": "execute-api:/*" } ] } -
Wählen Sie Save (Speichern) aus.
Schritt 5: Bereitstellen Ihrer API
Als Nächstes stellen Sie Ihre API bereit, um sie Clients in Ihrer Amazon VPC zur Verfügung zu stellen.
So stellen Sie eine API bereit
Melden Sie sich bei der API Gateway-Konsole unter https://console.aws.amazon.com/apigateway
an. -
Wählen Sie Ihre API aus.
-
Wählen Sie Aktionen und anschließend API bereitstellen.
-
Wählen Sie für Deployment stage New Stage.
-
Geben Sie für Stufenname Test ein.
-
Wählen Sie Deploy (Bereitstellen) aus.
Jetzt sind Sie bereit, Ihre API zu testen.
Schritt 6: Stellen Sie sicher, dass Ihre API nicht öffentlich zugänglich ist
Verwenden Sie, curl um zu überprüfen, ob Sie Ihre API nicht außerhalb Ihrer Amazon VPC aufrufen können.
So testen Sie Ihre API
Melden Sie sich bei der API-Gateway-Konsole unter https://console.aws.amazon.com/apigateway
an. -
Wählen Sie Ihre API aus.
-
Wählen Sie Stufen und dann die Testphase aus.
-
Kopieren Sie die URL Ihrer API. Die URL sieht folgendermaßen aus
https://. Für den VPC-Endpunkt, den Sie in Schritt 1 erstellt haben, ist privates DNS aktiviert, sodass Sie die bereitgestellte URL zum Aufrufen Ihrer API verwenden können.abcdef123.execute-api.us-west-2.amazonaws.com/test -
Verwenden Sie curl, um zu versuchen, Ihre API von außerhalb Ihrer VPC aufzurufen.
curl https://abcdef123.execute-api.us-west-2.amazonaws.com/testCurl zeigt an, dass der Endpunkt Ihrer API nicht aufgelöst werden kann. Wenn Sie eine andere Antwort erhalten, gehen Sie zurück zu Schritt 2 und stellen Sie sicher, dass Sie Privat für den Endpunkttyp Ihrer API auswählen.
curl: (6) Could not resolve host:abcdef123.execute-api.us-west-2.amazonaws.com/test
Als Nächstes stellen Sie eine Verbindung zu einer Amazon-EC2-Instance in Ihrer VPC her, um Ihre API aufzurufen.
Schritt 7: Verbinden Sie sich mit einer Instance in Ihrer VPC und rufen Sie Ihre API auf
Als Nächstes testen Sie Ihre API aus Ihrer Amazon VPC heraus. Um auf Ihre private API zuzugreifen, stellen Sie eine Verbindung zu einer Amazon-EC2-Instance in Ihrer VPC her und verwenden dann curl, um Ihre API aufzurufen. Sie verwenden Systems-Manager Session-Manger, um eine Verbindung mit Ihrer Instance im Browser herzustellen.
So testen Sie Ihre API
Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/
. -
Wählen Sie Instances.
-
Wählen Sie die Instance mit dem Namen private-api-tutorial aus, die Sie mit der AWS CloudFormation-Vorlage in Schritt 1 erstellt haben.
-
Wählen Sie Verbinden und wählen Sie dann Session-Manager.
-
Wählen Sie Verbinden , um eine browserbasierte Sitzung für Ihre Instance zu starten.
-
Verwenden Sie in Ihrer Session-Manager-Sitzung curl, um Ihre API aufzurufen. Sie können Ihre API aufrufen, da Sie eine Instance in Ihrer Amazon VPC verwenden.
curl https://abcdef123.execute-api.us-west-2.amazonaws.com/testStellen Sie sicher, dass Sie die Antwort erhalte
Hello from Lambda!.
Sie haben erfolgreich eine API erstellt, auf die nur von Ihrer Amazon VPC aus zugegriffen werden kann und dann überprüft, dass sie funktioniert.
Schritt 8: Bereinigen
Um unnötige Kosten zu vermeiden, löschen Sie die Ressourcen, die Sie im Rahmen dieses Tutorials erstellt haben. Mit den folgenden Schritten werden Ihre REST-API und Ihr AWS CloudFormation-Stack gelöscht.
So löschen Sie eine REST-API
Melden Sie sich bei der API Gateway-Konsole unter https://console.aws.amazon.com/apigateway
an. -
Wählen Sie auf der Seite APIs eine API aus. Wählen Sie Aktionen, wählen Sie Löschenund bestätigen Sie dann Ihre Auswahl.
So löschen Sie einen AWS CloudFormation-Stack
Öffnen Sie die AWS CloudFormation-Konsole unter https://console.aws.amazon.com/cloudformation
. -
Wählen Sie Ihren AWS CloudFormation-Stack aus.
-
Wählen Sie Löschen und bestätigen Sie dann Ihre Auswahl.
Nächste Schritte: Automatisieren mit AWS CloudFormation
Sie können die Erstellung und Bereinigung aller an diesem Tutorial beteiligten AWS-Ressourcen automatisieren. Eine vollständige AWS CloudFormation-Beispielvorlage finden Sie unter template.yaml.
