Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Elegir una política de seguridad para tu dominio personalizado en API Gateway
Para aumentar la seguridad de su dominio personalizado de Amazon API Gateway, puede elegir una política de seguridad en la consola de API Gateway AWS CLI, el o un AWS SDK.
Una política de seguridad es una combinación predefinida de la versión mínima de TLS y los conjuntos de cifrado que ofrece API Gateway. Se puede seleccionar una política de seguridad de la versión 1.2 de TLS o de la versión 1.0 de TLS. El protocolo TLS soluciona los problemas de seguridad de red como, por ejemplo, la manipulación y el acceso no autorizado entre un cliente y el servidor. Cuando sus clientes establecen un protocolo de conexión a TLS con la API a través del dominio personalizado, la política de seguridad aplica la versión de TLS y opciones del conjunto de cifrado que sus clientes pueden elegir utilizar.
En la configuración de dominio personalizado, una política de seguridad determina dos ajustes:
-
La versión mínima de TLS que API Gateway utiliza para comunicarse con los clientes de la API
-
El cifrado que utiliza API Gateway para cifrar el contenido que devuelve a los clientes de API
Si eliges una política de seguridad de TLS 1.0, esta acepta el tráfico de TLS 1.0, TLS 1.2 y TLS 1.3. Si elige una política de seguridad de TLS 1.2, la política de seguridad acepta el tráfico de TLS 1.2 y TLS 1.3 y rechaza el tráfico de TLS 1.0.
nota
Solo puede especificar una política de seguridad para un dominio personalizado. Para una API que usa un punto final predeterminado, API Gateway usa la siguiente política de seguridad:
Para las API optimizadas desde el punto de vista periférico:
TLS-1-0Para las API regionales:
TLS-1-0Para las API privadas:
TLS-1-2
Temas
- Cómo especificar una política de seguridad para dominios personalizados
- Políticas de seguridad, versiones del protocolo TLS y sistemas de cifrado compatibles para dominios personalizados optimizados
- Políticas de seguridad, versiones del protocolo TLS y cifrados compatibles para dominios regionales personalizados
- Cifrados y versiones del protocolo TLS compatibles para las API privadas
- Nombre del cifrado OpenSSL y RFC
- Información sobre las API WebSocket HTTP y las API
Cómo especificar una política de seguridad para dominios personalizados
Al crear un nombre de dominio personalizado, se especifica la política de seguridad correspondiente. Para obtener información sobre cómo crear un dominio personalizado, consulte Creación de un nombre de dominio personalizado optimizado para bordes oConfiguración de un nombre de dominio regional personalizado en API Gateway.
Para cambiar la política de seguridad de tu nombre de dominio personalizado, actualiza la configuración del dominio personalizado. Puedes actualizar la configuración de tu nombre de dominio personalizado mediante el AWS Management Console AWS CLI, el o un AWS SDK.
Cuando utilice la API REST de API Gateway o AWS CLI especifique la nueva versión de TLS TLS_1_0 o TLS_1_2 en el securityPolicy parámetro. Para obtener más información, consulte domainname:update en la referencia de la API REST de Amazon API Gateway o update-domain-nameen la referencia.AWS CLI
La operación de actualización puede tardar unos minutos en completarse.
Políticas de seguridad, versiones del protocolo TLS y sistemas de cifrado compatibles para dominios personalizados optimizados
En la siguiente tabla se describen las políticas de seguridad que se pueden especificar para los nombres de dominio personalizados con optimización perimetral.
| Política de seguridad | TLS_1_0 | TLS_1_2 |
|---|---|---|
| Protocolos TLS | ||
| TLSv1.3 | ♦ | ♦ |
| TLSv1.2 | ♦ | ♦ |
| TLSv1.1 | ♦ | |
| TLSv1 | ♦ | |
| Cifrados TLS | ||
| TLS_AES_128_GCM_SHA256 | ♦ | ♦ |
| TLS_AES_256_GCM_SHA384 | ♦ | ♦ |
| TLS_CHACHA20_POLY1305_SHA256 | ♦ | ♦ |
| ECDHE-ECDSA-AES128-GCM-SHA256 | ♦ | ♦ |
| ECDHE-ECDSA-AES128-SHA256 | ♦ | ♦ |
| ECDHE-ECDSA-AES128-SHA | ♦ | |
| ECDHE-ECDSA-AES256-GCM-SHA384 | ♦ | ♦ |
| ECDHE-ECDSA-CHACHA20-POLY1305 | ♦ | ♦ |
| ECDHE-ECDSA-AES256-SHA384 | ♦ | ♦ |
| ECDHE-ECDSA-AES256-SHA | ♦ | |
| ECDHE-RSA-AES128-GCM-SHA256 | ♦ | ♦ |
| ECDHE-RSA-AES128-SHA256 | ♦ | ♦ |
| ECDHE-RSA-AES128-SHA | ♦ | |
| ECDHE-RSA-AES256-GCM-SHA384 | ♦ | ♦ |
| ECDHE-RSA-CHACHA20-POLY1305 | ♦ | ♦ |
| ECDHE-RSA-AES256-SHA384 | ♦ | ♦ |
| ECDHE-RSA-AES256-SHA | ♦ | |
| AES128-GCM-SHA256 | ♦ | |
| AES256-GCM-SHA384 | ♦ | ♦ |
| AES128-SHA256 | ♦ | ♦ |
| AES256-SHA | ♦ | |
| AES128-SHA | ♦ | |
| DES-CBC3-SHA | ♦ | |
Políticas de seguridad, versiones del protocolo TLS y cifrados compatibles para dominios regionales personalizados
En la siguiente tabla se describen las políticas de seguridad que se pueden especificar para los nombres de dominio personalizados regionales.
| Política de seguridad | TLS_1_0 | TLS_1_2 |
|---|---|---|
| Protocolos TLS | ||
TLSv1.3 |
♦ | ♦ |
TLSv1.2 |
♦ | ♦ |
TLSv1.1 |
♦ | |
TLSv1 |
♦ | |
| Cifrados TLS | ||
TLS_AES_128_GCM_SHA256 |
♦ | ♦ |
TLS_AES_256_GCM_SHA384 |
♦ | ♦ |
TLS_CHACHA20_POLY1305_SHA256 |
♦ | ♦ |
ECDHE-ECDSA-AES128-GCM-SHA256 |
♦ | ♦ |
ECDHE-RSA-AES128-GCM-SHA256 |
♦ | ♦ |
ECDHE-ECDSA-AES128-SHA256 |
♦ | ♦ |
ECDHE-RSA-AES128-SHA256 |
♦ | ♦ |
ECDHE-ECDSA-AES128-SHA |
♦ | |
ECDHE-RSA-AES128-SHA |
♦ | |
ECDHE-ECDSA-AES256-GCM-SHA384 |
♦ | ♦ |
ECDHE-RSA-AES256-GCM-SHA384 |
♦ | ♦ |
ECDHE-ECDSA-AES256-SHA384 |
♦ | ♦ |
ECDHE-RSA-AES256-SHA384 |
♦ | ♦ |
ECDHE-RSA-AES256-SHA |
♦ | |
ECDHE-ECDSA-AES256-SHA |
♦ | |
AES128-GCM-SHA256 |
♦ | ♦ |
AES128-SHA256 |
♦ | ♦ |
AES128-SHA |
♦ | |
AES256-GCM-SHA384 |
♦ | ♦ |
AES256-SHA256 |
♦ | ♦ |
AES256-SHA |
♦ | |
Cifrados y versiones del protocolo TLS compatibles para las API privadas
En la siguiente tabla se describen el protocolo TLS y los cifrados compatibles con las API privadas. No se admite la especificación de una política de seguridad para las API privadas.
| Política de seguridad | TLS_1_2 |
|---|---|
| Protocolos TLS | |
TLSv1.2 |
♦ |
| Cifrados TLS | |
ECDHE-ECDSA-AES128-GCM-SHA256 |
♦ |
ECDHE-RSA-AES128-GCM-SHA256 |
♦ |
ECDHE-ECDSA-AES128-SHA256 |
♦ |
ECDHE-RSA-AES128-SHA256 |
♦ |
| ECDHE-ECDSA-AES256-GCM-SHA384 | ♦ |
| ECDHE-RSA-AES256-GCM-SHA384 | ♦ |
| ECDHE-ECDSA-AES256-SHA384 | ♦ |
| ECDHE-RSA-AES256-SHA384 | ♦ |
| AES128-GCM-SHA256 | ♦ |
| AES128-SHA256 | ♦ |
| AES256-GCM-SHA384 | ♦ |
| AES256-SHA256 | ♦ |
Nombre del cifrado OpenSSL y RFC
OpenSSL y el RFC 5246 del IETF utilizan nombres diferentes para los mismos cifrados. En la siguiente tabla se asigna el nombre de OpenSSL al nombre de RFC para cada uno de los cifrados.
| Nombre del cifrado OpenSSL | Nombre del cifrado RFC |
|---|---|
TLS_AES_128_GCM_SHA256 |
TLS_AES_128_GCM_SHA256 |
TLS_AES_256_GCM_SHA384 |
TLS_AES_256_GCM_SHA384 |
TLS_CHACHA20_POLY1305_SHA256 |
TLS_CHACHA20_POLY1305_SHA256 |
ECDHE-RSA-AES128-GCM-SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
ECDHE-RSA-AES128-SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
ECDHE-RSA-AES128-SHA |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
ECDHE-RSA-AES256-GCM-SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
ECDHE-RSA-AES256-SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
ECDHE-RSA-AES256-SHA |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
AES128-GCM-SHA256 |
TLS_RSA_WITH_AES_128_GCM_SHA256 |
AES256-GCM-SHA384 |
TLS_RSA_WITH_AES_256_GCM_SHA384 |
AES128-SHA256 |
TLS_RSA_WITH_AES_128_CBC_SHA256 |
AES256-SHA |
TLS_RSA_WITH_AES_256_CBC_SHA |
AES128-SHA |
TLS_RSA_WITH_AES_128_CBC_SHA |
DES-CBC3-SHA |
TLS_RSA_WITH_3DES_EDE_CBC_SHA |
Información sobre las API WebSocket HTTP y las API
Para obtener más información sobre las API y WebSocket las API HTTP, consulte Política de seguridad para las API HTTP yPolítica de seguridad para WebSocket las API.
