API de REST privadas en API Gateway
Una API privada es una API de REST a la que solo se puede llamar desde dentro de una Amazon VPC. Puede acceder a la API con un punto de conexión de VPC de interfaz, que es una interfaz de red de punto de conexión que crea en la VPC. Los puntos de enlace de la interfaz tienen tecnología AWS PrivateLink, que le permite obtener acceso de forma privada a los servicios de AWS mediante direcciones IP privadas.
También puede utilizar AWS Direct Connect para establecer una conexión desde una red en las instalaciones a Amazon VPC y, a continuación, acceder a la API privada a través de esa conexión. En cualquier caso, el tráfico dirigido a la API privada utiliza conexiones seguras y está aislado de la Internet pública. El tráfico no sale de la red de Amazon.
Prácticas recomendadas para API privadas
Recomendamos que utilice las siguientes prácticas recomendadas al crear la API privada.
-
Utilice un punto de conexión de VPC único para acceder a varias API privadas. De este modo, se reduce el número de puntos de conexión de VPC que es posible que necesite.
-
Asocie el punto de conexión de VPC a la API. De este modo, se crea un registro de DNS de alias de Route 53 y se simplifica la invocación a la API privada.
-
Active el DNS privado de la VPC. Cuando active el DNS privado para la VPC, puede invocar la API dentro de una VPC sin tener que pasar el encabezado
Host
ox-apigw-api-id
.Si habilita el DNS privado, no podrá acceder al punto de conexión predeterminado para las API públicas. Para acceder al punto de conexión predeterminado de las API públicas, puede desactivar DNS privado, crear una zona alojada privada para cada API privada de la VPC y, a continuación, aprovisionar los registros necesarios en Route 53. Esto permite que la API privada se resuelva mientras puede invocar el punto de conexión público predeterminado desde la VPC. Para obtener información, consulte Crear una zona alojada privada.
-
Restrinja el acceso a la API privada a VPC o puntos de conexión de VPC específicos. Agregue las condiciones
aws:SourceVpc
oaws:SourceVpce
a la política de recursos de la API para restringir el acceso. -
Para lograr el perímetro de datos más seguro, puede crear una política de punto de conexión de VPC. Esto controla el acceso a los puntos de conexión de VPC que pueden invocar la API privada.
Consideraciones sobre API privadas
Las siguientes consideraciones pueden afectar al uso de las API privadas.
-
Solo se admiten API de REST.
-
Los nombres de dominio personalizados no son compatibles con las API privadas.
Sin embargo, no puede convertir una API privada en una API optimizada para límites.
-
Las API privadas solo admiten TLS 1.2. No se admiten versiones de TLS anteriores.
-
Los puntos de enlace de la VPC de las API privadas están sujetos a las mismas limitaciones que otros puntos de enlace de la VPC de tipo interfaz. Para obtener más información, consulte Acceso a un servicio de AWS a través de un punto de conexión de VPC de interfaz en la Guía de AWS PrivateLink. Para obtener más información sobre cómo utilizar API Gateway con VPC compartidas y subredes compartidas, consulte Subredes compartidas en la Guía de AWS PrivateLink.
Próximos pasos para API privadas
Para obtener información sobre cómo crear una API privada y asociar un punto de conexión de VPC, consulte Creación de una API privada. Para seguir un tutorial en el que se crean dependencias en AWS CloudFormation y una API privada en la AWS Management Console, consulte Tutorial: Creación de una API de REST privada.