Elección de una política de seguridad para el dominio personalizado de la API de REST en API Gateway
Para una mayor seguridad del dominio personalizado de Amazon API Gateway, puede elegir una política de seguridad en la consola de API Gateway, la AWS CLI o un AWS SDK.
Una política de seguridad es una combinación predefinida de versión mínima de TLS y conjuntos de cifrado que ofrece API Gateway. Se puede seleccionar una política de seguridad de la versión 1.2 de TLS o de la versión 1.0 de TLS. El protocolo TLS soluciona los problemas de seguridad de red como, por ejemplo, la manipulación y el acceso no autorizado entre un cliente y el servidor. Cuando sus clientes establecen un protocolo de conexión a TLS con la API a través del dominio personalizado, la política de seguridad aplica la versión de TLS y opciones del conjunto de cifrado que sus clientes pueden elegir utilizar.
En la configuración de dominio personalizado, una política de seguridad determina dos ajustes:
-
La versión mínima de TLS que API Gateway utiliza para comunicarse con los clientes de la API
-
El cifrado que utiliza API Gateway para cifrar el contenido que devuelve a los clientes de API
Si elige una política de seguridad de TLS 1.0, la política de seguridad acepta el tráfico de TLS 1.0, TLS 1.2 y TLS 1.3. Si elige una política de seguridad de TLS 1.2, la política de seguridad acepta el tráfico de TLS 1.2 y TLS 1.3 y rechaza el tráfico de TLS 1.0.
nota
Solo puede especificar una política de seguridad para un dominio personalizado. Para una API con un punto de conexión predeterminado, API Gateway usa la siguiente política de seguridad:
Para las API optimizadas para borde:
TLS-1-0Para las API regionales:
TLS-1-0Para las API privadas:
TLS-1-2
Los cifrados de cada política de seguridad se describen en las siguientes tablas de esta página.
Temas
- Cómo especificar una política de seguridad para dominios personalizados
- Políticas de seguridad compatibles, versiones de protocolo TLS y cifrados admitidos para dominios personalizados optimizados para borde
- Políticas de seguridad compatibles, versiones de protocolo TLS y cifrados admitidos para dominios personalizados regionales
- Cifrados y versiones del protocolo TLS compatibles para las API privadas
- Nombre del cifrado OpenSSL y RFC
- Información acerca de las API de HTTP y las API de WebSocket
Cómo especificar una política de seguridad para dominios personalizados
Al crear un nombre de dominio personalizado, especifique la política de seguridad para él. Para obtener información sobre cómo crear un dominio personalizado, consulte Configuración de un nombre de dominio personalizado optimizado para la periferia para en API Gateway o Configuración de un nombre de dominio personalizado regional en API Gateway.
Para cambiar la política de seguridad del nombre de dominio personalizado, actualice la configuración del dominio personalizado. Puede actualizar la configuración del nombre de dominio personalizado mediante la AWS Management Console, la AWS CLI o un AWS SDK.
Cuando utilice la API de REST de API Gateway o la AWS CLI, especifique la nueva versión de TLS, TLS_1_0 o TLS_1_2, en el parámetro securityPolicy. Para obtener más información, consulte domainname:update en la Referencia de la API de REST de Amazon API Gateway o update-domain-name en la Referencia de la AWS CLI.
La operación de actualización puede tardar unos minutos en completarse.
Políticas de seguridad compatibles, versiones de protocolo TLS y cifrados admitidos para dominios personalizados optimizados para borde
En la siguiente tabla se describen las políticas de seguridad que se pueden especificar para nombres de dominio personalizados optimizados para bordes.
Protocolos TLS |
Política de seguridad de TLS_1_0 |
Política de seguridad de TLS_1_2 |
|---|---|---|
| TLSv1.3 | ||
| TLSv1.2 | ||
| TLSv1.1 | ||
| TLSv1 |
En la siguiente tabla se describen los cifrados de TLS disponibles para cada política de seguridad.
Cifrados TLS |
Política de seguridad de TLS_1_0 |
Política de seguridad de TLS_1_2 |
|---|---|---|
| TLS_AES_128_GCM_SHA256 | ||
| TLS_AES_256_GCM_SHA384 | ||
| TLS_CHACHA20_POLY1305_SHA256 | ||
| ECDHE-ECDSA-AES128-GCM-SHA256 | ||
| ECDHE-ECDSA-AES128-SHA256 | ||
| ECDHE-ECDSA-AES128-SHA | ||
| ECDHE-ECDSA-AES256-GCM-SHA384 | ||
| ECDHE-ECDSA-CHACHA20-POLY1305 | ||
| ECDHE-ECDSA-AES256-SHA384 | ||
| ECDHE-ECDSA-AES256-SHA | ||
| ECDHE-RSA-AES128-GCM-SHA256 | ||
| ECDHE-RSA-AES128-SHA256 | ||
| ECDHE-RSA-AES128-SHA | ||
| ECDHE-RSA-AES256-GCM-SHA384 | ||
| ECDHE-RSA-CHACHA20-POLY1305 | ||
| ECDHE-RSA-AES256-SHA384 | ||
| ECDHE-RSA-AES256-SHA | ||
| AES128-GCM-SHA256 | ||
| AES256-GCM-SHA384 | ||
| AES128-SHA256 | ||
| AES256-SHA | ||
| AES128-SHA | ||
| DES-CBC3-SHA |
Políticas de seguridad compatibles, versiones de protocolo TLS y cifrados admitidos para dominios personalizados regionales
En la siguiente tabla se describen las políticas de seguridad para nombres de dominio personalizados regionales.
Protocolos TLS |
Política de seguridad de TLS_1_0 |
Política de seguridad de TLS_1_2 |
|---|---|---|
TLSv1.3 |
||
TLSv1.2 |
||
TLSv1.1 |
||
TLSv1 |
En la siguiente tabla se describen los cifrados de TLS disponibles para cada política de seguridad.
Cifrados TLS |
Política de seguridad de TLS_1_0 |
Política de seguridad de TLS_1_2 |
|---|---|---|
TLS_AES_128_GCM_SHA256 |
||
TLS_AES_256_GCM_SHA384 |
||
TLS_CHACHA20_POLY1305_SHA256 |
||
ECDHE-ECDSA-AES128-GCM-SHA256 |
||
ECDHE-RSA-AES128-GCM-SHA256 |
||
ECDHE-ECDSA-AES128-SHA256 |
||
ECDHE-RSA-AES128-SHA256 |
||
ECDHE-ECDSA-AES128-SHA |
||
ECDHE-RSA-AES128-SHA |
||
ECDHE-ECDSA-AES256-GCM-SHA384 |
||
ECDHE-RSA-AES256-GCM-SHA384 |
||
ECDHE-ECDSA-AES256-SHA384 |
||
ECDHE-RSA-AES256-SHA384 |
||
ECDHE-RSA-AES256-SHA |
||
ECDHE-ECDSA-AES256-SHA |
||
AES128-GCM-SHA256 |
||
AES128-SHA256 |
||
AES128-SHA |
||
AES256-GCM-SHA384 |
||
AES256-SHA256 |
||
AES256-SHA |
Cifrados y versiones del protocolo TLS compatibles para las API privadas
En la siguiente tabla se describen los protocolos de TLS admitidos para las API privadas. No se admite la especificación de una política de seguridad para las API privadas.
Protocolos TLS |
Política de seguridad de TLS_1_2 |
|---|---|
TLSv1.2 |
En la siguiente tabla se describen los cifrados de TLS disponibles para cada política de seguridad de TLS_1_2 para las API privadas.
Cifrados TLS |
Política de seguridad de TLS_1_2 |
|---|---|
ECDHE-ECDSA-AES128-GCM-SHA256 |
|
ECDHE-RSA-AES128-GCM-SHA256 |
|
ECDHE-ECDSA-AES128-SHA256 |
|
ECDHE-RSA-AES128-SHA256 |
|
| ECDHE-ECDSA-AES256-GCM-SHA384 | |
| ECDHE-RSA-AES256-GCM-SHA384 | |
| ECDHE-ECDSA-AES256-SHA384 | |
| ECDHE-RSA-AES256-SHA384 | |
| AES128-GCM-SHA256 | |
| AES128-SHA256 | |
| AES256-GCM-SHA384 | |
| AES256-SHA256 |
Nombre del cifrado OpenSSL y RFC
OpenSSL e IETF RFC 5246 utilizan nombres distintos para los mismos cifrados. En la siguiente tabla se asigna el nombre de OpenSSL al nombre de RFC para cada uno de los cifrados.
Nombre del cifrado de OpenSSL |
Nombre del cifrado de RFC |
|---|---|
TLS_AES_128_GCM_SHA256 |
TLS_AES_128_GCM_SHA256 |
TLS_AES_256_GCM_SHA384 |
TLS_AES_256_GCM_SHA384 |
TLS_CHACHA20_POLY1305_SHA256 |
TLS_CHACHA20_POLY1305_SHA256 |
ECDHE-RSA-AES128-GCM-SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
ECDHE-RSA-AES128-SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
ECDHE-RSA-AES128-SHA |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
ECDHE-RSA-AES256-GCM-SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
ECDHE-RSA-AES256-SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
ECDHE-RSA-AES256-SHA |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
AES128-GCM-SHA256 |
TLS_RSA_WITH_AES_128_GCM_SHA256 |
AES256-GCM-SHA384 |
TLS_RSA_WITH_AES_256_GCM_SHA384 |
AES128-SHA256 |
TLS_RSA_WITH_AES_128_CBC_SHA256 |
AES256-SHA |
TLS_RSA_WITH_AES_256_CBC_SHA |
AES128-SHA |
TLS_RSA_WITH_AES_128_CBC_SHA |
DES-CBC3-SHA |
TLS_RSA_WITH_3DES_EDE_CBC_SHA |
Información acerca de las API de HTTP y las API de WebSocket
Para obtener más información sobre las API de HTTP y las API de WebSocket, consulte Política de seguridad de las API de HTTP en API Gateway y Política de seguridad de las API de WebSocket en API Gateway.
