Bewährte Methoden in Amazon API Gateway - Amazon API Gateway

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden in Amazon API Gateway

API Gateway bietet eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.

Implementieren des Zugriffs mit geringsten Berechtigungen

Verwenden Sie IAM-Richtlinien, um den Zugriff mit den geringsten Rechten für das Erstellen, Lesen, Aktualisieren oder Löschen von API Gateway APIs zu implementieren. Weitere Informationen hierzu finden Sie unter Identitäts- und Zugriffsverwaltung für Amazon API Gateway. API Gateway bietet mehrere Optionen zur Steuerung des Zugriffs auf APIs die von Ihnen erstellten Daten. Weitere Informationen hierzu finden Sie unter Steuern und verwalten Sie den Zugriff auf REST APIs in API Gateway, Steuern und verwalten Sie den Zugriff WebSocket APIs auf das API Gateway und Steuern Sie den Zugriff auf HTTP APIs mit JWT-Autorisierern in API Gateway.

Implementieren der Protokollierung

Verwenden Sie CloudWatch Logs oder Amazon Data Firehose, um Anfragen an Ihre APIs zu protokollieren. Weitere Informationen hierzu finden Sie unter Überwachen Sie REST APIs im API Gateway, Konfigurieren Sie die Protokollierung für WebSocket APIs im API Gateway und Konfigurieren Sie die Protokollierung für HTTP APIs in API Gateway.

Implementieren Sie CloudWatch Amazon-Alarme

Mithilfe von CloudWatch Alarmen beobachten Sie eine einzelne Metrik über einen von Ihnen festgelegten Zeitraum. Wenn die Metrik einen bestimmten Schwellenwert überschreitet, wird eine Benachrichtigung an ein Thema oder eine AWS Auto Scaling Richtlinie von Amazon Simple Notification Service gesendet. CloudWatch Alarme lösen keine Aktionen aus, wenn sich eine Metrik in einem bestimmten Status befindet. Der Status muss sich stattdessen geändert haben und für eine festgelegte Anzahl an Zeiträumen aufrechterhalten worden sein. Weitere Informationen finden Sie unter Überwachen Sie die REST-API-Ausführung mit CloudWatch Amazon-Metriken.

Aktivieren AWS CloudTrail

CloudTrail bietet eine Aufzeichnung der Aktionen, die von einem Benutzer, einer Rolle oder einem AWS Dienst in API Gateway ausgeführt wurden. Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an API Gateway gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln. Weitere Informationen finden Sie unter Aufrufe an Amazon-API-Gateway-APIs mit AWS CloudTrail protokollieren.

Aktivieren AWS Config

AWS Config bietet eine detaillierte Ansicht der Konfiguration der AWS Ressourcen in Ihrem Konto. Sie können Ressourcenbeziehungen betrachten, einen Verlauf der Konfigurationsänderungen anzeigen und feststellen, wie sich Beziehungen und Konfigurationen im Lauf der Zeit ändern. Sie können AWS Config damit Regeln definieren, mit denen Ressourcenkonfigurationen im Hinblick auf Datenkonformität bewertet werden. AWS Config Regeln stellen die idealen Konfigurationseinstellungen für Ihre API-Gateway-Ressourcen dar. Wenn eine Ressource gegen eine Regel verstößt und als nicht konform gekennzeichnet wird, AWS Config kann ich Sie mithilfe eines Amazon Simple Notification Service (Amazon SNS) -Themas benachrichtigen. Details hierzu finden Sie unter Überwachung der API-Gateway-API-Konfiguration mit AWS Config.

Verwenden AWS Security Hub

Überwachen Sie Ihre API-Gateway-Nutzung in Bezug auf bewährte Sicherheitsmethoden, indem Sie AWS Security Hub verwenden. Security Hub verwendet Sicherheitskontrollen für die Bewertung von Ressourcenkonfigurationen und Sicherheitsstandards, um Sie bei der Einhaltung verschiedener Compliance-Frameworks zu unterstützen. Weitere Informationen zur Verwendung von Security Hub für die Bewertung von API-Gateway-Ressourcen finden Sie unter Amazon-API-Gateway-Steuerelemente im AWS Security Hub -Benutzerhandbuch.