Choix d'une politique de sécurité pour votre domaine personnalisé dans API Gateway - Amazon API Gateway

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Choix d'une politique de sécurité pour votre domaine personnalisé dans API Gateway

Pour renforcer la sécurité de votre domaine personnalisé Amazon API Gateway, vous pouvez choisir une politique de sécurité dans la console API Gateway, dans le AWS CLI ou dans un AWS SDK.

Une politique de sécurité est une combinaison prédéfinie de version minimale de TLS et de suites de chiffrement proposées par API Gateway. Vous pouvez choisir une stratégie de sécurité TLS version 1.2 ou TLS version 1.0. Le protocole TLS résout les problèmes de sécurité de réseau tels que la falsification et le risque d’écoute illicite entre un client et un serveur. Lorsque vos clients établissent une liaison TLS vers votre API via le domaine personnalisé, la stratégie de sécurité applique les options de version TLS et de suite de chiffrement que vos clients peuvent choisir d'utiliser.

Dans les paramètres de domaine personnalisé, une stratégie de sécurité détermine deux paramètres :

  • Version minimale du protocole TLS utilisée par API Gateway pour communiquer avec des clients d'API

  • Le chiffrement utilisé par API Gateway pour chiffrer le contenu renvoyé aux clients d'API

Si vous choisissez une politique de sécurité TLS 1.0, celle-ci accepte le trafic TLS 1.0, TLS 1.2 et TLS 1.3. Si vous choisissez une politique de sécurité TLS 1.2, celle-ci accepte le trafic TLS 1.2 et TLS 1.3 et rejette le trafic TLS 1.0.

Note

Vous ne pouvez définir une politique de sécurité que pour un domaine personnalisé. Pour une API utilisant un point de terminaison par défaut, API Gateway applique la politique de sécurité suivante :

  • Pour les API optimisées pour les périphériques : TLS-1-0

  • Pour les API régionales : TLS-1-0

  • Pour les API privées : TLS-1-2

Comment définir une politique de sécurité pour les domaines personnalisés

Lorsque vous créez un nom de domaine personnalisé, vous spécifiez sa politique de sécurité. Pour savoir comment créer un domaine personnalisé, consultez Création d'un nom de domaine personnalisé optimisé pour la périphérie ouConfiguration d'un nom de domaine personnalisé régional dans API Gateway.

Pour modifier la politique de sécurité de votre nom de domaine personnalisé, mettez à jour les paramètres de domaine personnalisés. Vous pouvez mettre à jour vos paramètres de nom de domaine personnalisés à l'aide du AWS Management Console AWS CLI, du ou d'un AWS SDK.

Lorsque vous utilisez l'API REST API Gateway ou AWS CLI que vous spécifiez la nouvelle version de TLS, TLS_1_0 ou TLS_1_2 dans le securityPolicy paramètre. Pour plus d'informations, consultez domainname:update dans le manuel Amazon API Gateway REST API Gateway ou update-domain-namedans le document de référence.AWS CLI

L'opération de mise à jour peut prendre quelques minutes.

Politiques de sécurité, versions du protocole TLS et chiffrements pris en charge pour les domaines personnalisés optimisés pour les périphériques

Le tableau suivant décrit les politiques de sécurité qui peuvent être spécifiées pour les noms de domaine personnalisés optimisés pour les périphériques.

Politique de sécurité TLS_1_0 TLS_1_2
Protocoles TLS
TLSv1.3
TLSv1.2
TLSv1.1
TLSv1
Chiffrements TLS
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES256-SHA384
ECDHE-ECDSA-AES256-SHA
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-CHACHA20-POLY1305
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
AES256-SHA
AES128-SHA
DES-CBC3-SHA

Politiques de sécurité, versions du protocole TLS et chiffrements pris en charge pour les domaines personnalisés régionaux

Le tableau suivant décrit les politiques de sécurité qui peuvent être spécifiées pour les noms de domaine personnalisés régionaux.

Politique de sécurité TLS_1_0 TLS_1_2
Protocoles TLS

TLSv1.3

TLSv1.2

TLSv1.1

TLSv1

Chiffrements TLS

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

ECDHE-ECDSA-AES128-GCM-SHA256

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-ECDSA-AES128-SHA256

ECDHE-RSA-AES128-SHA256

ECDHE-ECDSA-AES128-SHA

ECDHE-RSA-AES128-SHA

ECDHE-ECDSA-AES256-GCM-SHA384

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES256-SHA384

ECDHE-RSA-AES256-SHA

ECDHE-ECDSA-AES256-SHA

AES128-GCM-SHA256

AES128-SHA256

AES128-SHA

AES256-GCM-SHA384

AES256-SHA256

AES256-SHA

Versions de protocole TLS et chiffrements pris en charge pour les API privées

Le tableau suivant décrit le protocole TLS pris en charge et les chiffrements pour les API privées. La spécification d'une politique de sécurité pour les API privées n'est pas prise en charge.

Politique de sécurité TLS_1_2
Protocoles TLS

TLSv1.2

Chiffrements TLS

ECDHE-ECDSA-AES128-GCM-SHA256

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-ECDSA-AES128-SHA256

ECDHE-RSA-AES128-SHA256

ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA384
AES128-GCM-SHA256
AES128-SHA256
AES256-GCM-SHA384
AES256-SHA256

Noms de chiffrement OpenSSL et RFC

OpenSSL et IETF RFC 5246 utilisent des noms différents pour les mêmes chiffrements. Le tableau suivant met en correspondance le nom OpenSSL et le nom RFC pour chaque chiffrement.

Nom de chiffrement OpenSSL Nom de chiffrement RFC

TLS_AES_128_GCM_SHA256

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS_CHACHA20_POLY1305_SHA256

ECDHE-RSA-AES128-GCM-SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

ECDHE-RSA-AES128-SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

ECDHE-RSA-AES128-SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

ECDHE-RSA-AES256-GCM-SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

ECDHE-RSA-AES256-SHA384

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

ECDHE-RSA-AES256-SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

AES128-GCM-SHA256

TLS_RSA_WITH_AES_128_GCM_SHA256

AES256-GCM-SHA384

TLS_RSA_WITH_AES_256_GCM_SHA384

AES128-SHA256

TLS_RSA_WITH_AES_128_CBC_SHA256

AES256-SHA

TLS_RSA_WITH_AES_256_CBC_SHA

AES128-SHA

TLS_RSA_WITH_AES_128_CBC_SHA

DES-CBC3-SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

Informations sur les API HTTP et les WebSocket API

Pour plus d'informations sur les API HTTP et WebSocket les API, consultez Politique de sécurité pour les API HTTP etPolitique de sécurité pour les WebSocket API.