Bewährte Methoden in Amazon API Gateway

API Gateway bietet eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.

Implementieren der geringstmöglichen Zugriffsrechte

Verwenden Sie IAM-Richtlinien zur Implementierung des Zugriffs mit den geringsten Rechten zum Erstellen, Lesen, Aktualisieren oder Löschen von API Gateway-APIs. Weitere Informationen hierzu finden Sie unter Identitäts- und Zugriffsverwaltung für Amazon API Gateway. API Gateway bietet mehrere Optionen zur Steuerung des Zugriffs auf von Ihnen erstellte APIs. Weitere Informationen hierzu finden Sie unter Steuern und verwalten Sie den Zugriff auf REST-APIs in API Gateway, Steuern und verwalten Sie den Zugriff auf WebSocket APIs in API Gateway und Steuern Sie den Zugriff auf HTTP-APIs mit JWT-Autorisierern.

Implementieren der Protokollierung

Verwenden Sie CloudWatch Protokolle oder Amazon Data Firehose, um Anfragen an Ihre APIs zu protokollieren. Weitere Informationen hierzu finden Sie unter Überwachen Sie REST-APIs im API Gateway, Konfigurieren Sie die Protokollierung für WebSocket APIs in API Gateway und Konfigurieren Sie die Protokollierung für HTTP-APIs in API Gateway.

Amazon- CloudWatch Alarme implementieren

Mithilfe von CloudWatch Alarmen überwachen Sie eine einzelne Metrik über einen von Ihnen angegebenen Zeitraum. Wenn die Metrik einen bestimmten Schwellenwert überschreitet, wird eine Benachrichtigung an ein Amazon Simple Notification Service-Thema oder eine AWS Auto Scaling Richtlinie gesendet. CloudWatch Alarme rufen keine Aktionen auf, wenn sich eine Metrik in einem bestimmten Status befindet. Der Status muss sich stattdessen geändert haben und für eine festgelegte Anzahl an Zeiträumen aufrechterhalten worden sein. Weitere Informationen finden Sie unter Überwachen Sie die REST-API-Ausführung mit CloudWatch Amazon-Metriken.

Aktivieren von AWS CloudTrail

CloudTrail bietet eine Aufzeichnung der von einem Benutzer, einer Rolle oder einem - AWS Service in API Gateway durchgeführten Aktionen. Anhand der von CloudTrailgesammelten Informationen können Sie die an API Gateway gestellte Anfrage, die IP-Adresse, von der die Anfrage gestellt wurde, den Initiator der Anfrage, den Zeitpunkt der Anfrage und zusätzliche Details bestimmen. Weitere Informationen finden Sie unter Protokollieren Amazon API Gateway Gateway-API-Aufrufen mit AWS CloudTrail.

Aktivieren von AWS Config

AWS Config bietet eine detaillierte Ansicht der Konfiguration der AWS Ressourcen in Ihrem Konto. Sie können Ressourcenbeziehungen betrachten, einen Verlauf der Konfigurationsänderungen anzeigen und feststellen, wie sich Beziehungen und Konfigurationen im Lauf der Zeit ändern. Sie können verwenden, AWS Config um Regeln zu definieren, die Ressourcenkonfigurationen auf Datenkonformität auswerten. - AWS Config Regeln stellen die idealen Konfigurationseinstellungen für Ihre API Gateway-Ressourcen dar. Wenn eine Ressource gegen eine Regel verstößt und als nicht konform gekennzeichnet wird, AWS Config kann Sie mithilfe eines Amazon Simple Notification Service (Amazon SNS)-Themas benachrichtigen. Details hierzu finden Sie unter API Gateway API-Konfiguration mit überwache AWS Config.

Verwenden von AWS Security Hub

Überwachen Sie Ihre API-Gateway-Nutzung in Bezug auf bewährte Sicherheitsmethoden, indem Sie AWS Security Hub verwenden. Security Hub verwendet Sicherheitskontrollen für die Bewertung von Ressourcenkonfigurationen und Sicherheitsstandards, um Sie bei der Einhaltung verschiedener Compliance-Frameworks zu unterstützen. Weitere Informationen zur Verwendung von Security Hub für die Bewertung von API-Gateway-Ressourcen finden Sie unter Amazon-API-Gateway-Steuerelemente im AWS Security Hub -Benutzerhandbuch.