Contrôlez et gérez l'accès aux API REST dans API Gateway

API Gateway prend en charge plusieurs mécanismes pour contrôler et gérer l'accès à votre API.

Les mécanismes suivants peuvent être utilisés pour l'authentification et l'autorisation :

• Les stratégies de ressources vous permettent de créer des stratégies basées sur les ressources afin d'autoriser ou de refuser l'accès à vos API et méthodes à certaines adresses IP source spécifiées ou points de terminaison d'un VPC. Pour plus d’informations, consultez Contrôlez l'accès à un REST API avec des politiques de ressources API Gateway.

• Les rôles et politiques AWS IAM standard offrent des contrôles d'accès flexibles et robustes qui peuvent être appliqués à une API complète ou à des méthodes individuelles. Les rôles et les stratégies IAM peuvent être utilisés afin de contrôler qui peut créer et gérer vos API, ainsi que qui peut les appeler. Pour plus d’informations, consultez Contrôler l'accès à un REST API avec des IAM autorisations.

• Les balises IAM peuvent être utilisées avec des stratégies IAM pour contrôler l'accès. Pour plus d’informations, consultez Utilisation de balises pour contrôler l'accès aux ressources API REST API Gateway.

• Les stratégies de point de terminaison pour les points de terminaison de VPC d'interface vous permettent d'attacher des stratégies de ressources IAM à des points de terminaison de VPC d'interface pour améliorer la sécurité de vos API privées. Pour plus d’informations, consultez Utiliser des politiques de VPC point de terminaison pour APIs la confidentialité dans API Gateway.

• Les mécanismes d'autorisation Lambda sont des fonctions Lambda qui contrôlent l'accès à vos méthodes d'API REST à l'aide d'authentification par jeton de porteur, ainsi qu'aux informations figurant dans les paramètres de la requête tels que les en-têtes, chemins, chaînes de requête, variables d'étape ou variables de contexte. Les autorisateurs Lambda sont utilisés pour contrôler qui peut appeler les méthodes d'API REST. Pour plus d’informations, consultez Utiliser les API autorisateurs Gateway Lambda.

• Les groupes d'utilisateurs Amazon Cognito vous permettent de créer des solutions d'authentification et d'autorisation personnalisables pour vos API REST. Les groupes d'utilisateurs Amazon Cognito sont utilisés pour contrôler qui peut appeler les méthodes d'API REST. Pour plus d’informations, consultez Contrôlez l'accès aux API REST en utilisant les groupes d'utilisateurs Amazon Cognito comme autorisateur.

Les mécanismes suivants peuvent être utilisés pour effectuer d'autres tâches liées au contrôle de l'accès :

• Le partage des ressources cross-origin (CORS) vous permet de contrôler la façon dont votre API REST répond aux requêtes de ressources inter-domaines. Pour plus d’informations, consultez CORSpour REST APIs dans API Gateway.

• Les certificats SSL côté client peuvent être utilisés pour vérifier que les requêtes HTTP adressées à votre système backend proviennent d'API Gateway. Pour plus d’informations, consultez Génération et configuration d'un SSL certificat pour l'authentification du backend dans Gateway API.

• AWS WAF peut être utilisé pour protéger votre API d'API Gateway contre les menaces web courantes. Pour plus d’informations, consultez AWS WAF À utiliser pour protéger vos API REST dans API Gateway.

Les mécanismes suivants peuvent être utilisés pour suivre et limiter l'accès que vous avez accordé aux clients autorisés :

• Les plans d'utilisation vous permettent de fournir des clés d'API à vos clients. Vous pouvez ensuite suivre et limiter l'utilisation de vos étapes et méthodes d'API pour chaque clé d'API. Pour plus d'informations, voir Plans d'utilisation et API clés pour REST APIs in API Gateway .