Dieses Whitepaper dient nur als historische Referenz. Einige Inhalte sind möglicherweise veraltet und einige Links sind möglicherweise nicht verfügbar.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Priorisieren Sie die API-Sicherheit
Alle Anwendungen müssen sicherstellen, dass nur autorisierte Kunden Zugriff auf ihre API-Ressourcen haben. Beim Entwerfen einer mehrstufigen Anwendung können Sie verschiedene Möglichkeiten nutzen, wie Amazon API Gateway zur Sicherung Ihrer Logikebene beiträgt:
Sicherheit im Transit
Alle Anfragen an Sie APIs können über HTTPS gestellt werden, um die Verschlüsselung bei der Übertragung zu ermöglichen.
API Gateway bietet integrierte SSL/TLS Zertifikate — wenn Sie die Option für benutzerdefinierte Domainnamen für die Öffentlichkeit verwenden APIs, können Sie mit AWS SSL/TLS
API-Autorisierung
Jeder resource/method Kombination, die Sie als Teil Ihrer API erstellen, wird ein eindeutiger Amazon-Ressourcenname (ARN) zugewiesen, auf den in AWS Identity and Access Management (IAM) -Richtlinien verwiesen werden kann.
Es gibt drei allgemeine Methoden, um einer API in API Gateway eine Autorisierung hinzuzufügen:
-
IAM-Rollen und -Richtlinien: Kunden verwenden die Autorisierung und die IAM-Richtlinien von AWS Signature Version 4 (Sigv4) für den API-Zugriff. Dieselben Anmeldeinformationen können den Zugriff auf andere AWS Dienste und Ressourcen nach Bedarf einschränken oder zulassen (z. B. Amazon S3 S3-Buckets oder Amazon DynamoDB-Tabellen).
-
Amazon Cognito Cognito-Benutzerpools: Kunden melden sich über einen Amazon Cognito Cognito-Benutzerpool
an und erhalten Token, die im Autorisierungsheader einer Anfrage enthalten sind. -
Lambda-Autorisierer: Definieren Sie eine Lambda-Funktion, die ein benutzerdefiniertes Autorisierungsschema implementiert, das eine Bearer-Token-Strategie (z. B. OAuth und SAML) verwendet oder Anforderungsparameter verwendet, um Benutzer zu identifizieren.
Zugriffsbeschränkungen
API Gateway unterstützt die Generierung von API-Schlüsseln und die Zuordnung dieser Schlüssel zu einem konfigurierbaren Nutzungsplan. Sie können die Verwendung von API-Schlüsseln mit überwachen CloudWatch.
API Gateway unterstützt Drosselung, Ratenbegrenzungen und Burst-Ratenbegrenzungen für jede Methode in Ihrer API.
Privat APIs
Mit API Gateway können Sie private REST erstellen, auf APIs die nur von Ihrer virtuellen privaten Cloud in Amazon VPC aus zugegriffen werden kann, indem Sie einen VPC-Schnittstellen-Endpunkt verwenden. Dies ist eine Endpunkt-Netzwerkschnittstelle, die Sie in Ihrer VPC erstellen.
Mithilfe von Ressourcenrichtlinien können Sie den Zugriff auf Ihre API von ausgewählten Endpunkten VPCs und VPC-Endpunkten aus aktivieren oder verweigern, auch für AWS-Konten. Jeder Endpunkt kann für den Zugriff auf mehrere private Endgeräte verwendet werden. APIs Sie können außerdem AWS Direct Connect verwenden, um eine Verbindung von einem On-Premise-Netzwerk zu Amazon VPC herzustellen und über diese Verbindung auf Ihre private API zuzugreifen.
In allen Fällen verwendet der Datenverkehr zu Ihrer privaten API eine sichere Verbindung und verlässt nicht das Amazon-Netzwerk. Er ist vom öffentlichen Internet isoliert.
Firewall-Schutz mit AWS WAF
Mit dem Internet verbundene Geräte APIs sind anfällig für böswillige Angriffe. AWS WAF ist eine Firewall für Webanwendungen, die zum Schutz vor solchen APIs Angriffen beiträgt. Sie APIs schützt vor gängigen Web-Exploits wie SQL-Injection und Cross-Site-Scripting-Angriffen. Sie können es AWS WAF
