Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Choix d'une politique de sécurité pour votre domaine personnalisé dans API Gateway
Pour renforcer la sécurité de votre domaine personnalisé Amazon API Gateway, vous pouvez choisir une politique de sécurité dans la console API Gateway, dans le AWS CLI ou dans un AWS SDK.
Une politique de sécurité est une combinaison prédéfinie de version minimale de TLS et de suites de chiffrement proposées par API Gateway. Vous pouvez choisir une stratégie de sécurité TLS version 1.2 ou TLS version 1.0. Le protocole TLS résout les problèmes de sécurité de réseau tels que la falsification et le risque d’écoute illicite entre un client et un serveur. Lorsque vos clients établissent une liaison TLS vers votre API via le domaine personnalisé, la stratégie de sécurité applique les options de version TLS et de suite de chiffrement que vos clients peuvent choisir d'utiliser.
Dans les paramètres de domaine personnalisé, une stratégie de sécurité détermine deux paramètres :
-
Version minimale du protocole TLS utilisée par API Gateway pour communiquer avec des clients d'API
-
Le chiffrement utilisé par API Gateway pour chiffrer le contenu renvoyé aux clients d'API
Si vous choisissez une politique de sécurité TLS 1.0, celle-ci accepte le trafic TLS 1.0, TLS 1.2 et TLS 1.3. Si vous choisissez une politique de sécurité TLS 1.2, celle-ci accepte le trafic TLS 1.2 et TLS 1.3 et rejette le trafic TLS 1.0.
Note
Vous ne pouvez définir une politique de sécurité que pour un domaine personnalisé. Pour une API utilisant un point de terminaison par défaut, API Gateway applique la politique de sécurité suivante :
Pour les API optimisées pour les périphériques :
TLS-1-0
Pour les API régionales :
TLS-1-0
Pour les API privées :
TLS-1-2
Rubriques
- Comment définir une politique de sécurité pour les domaines personnalisés
- Politiques de sécurité, versions du protocole TLS et chiffrements pris en charge pour les domaines personnalisés optimisés pour les périphériques
- Politiques de sécurité, versions du protocole TLS et chiffrements pris en charge pour les domaines personnalisés régionaux
- Versions de protocole TLS et chiffrements pris en charge pour les API privées
- Noms de chiffrement OpenSSL et RFC
- Informations sur les API HTTP et les WebSocket API
Comment définir une politique de sécurité pour les domaines personnalisés
Lorsque vous créez un nom de domaine personnalisé, vous spécifiez sa politique de sécurité. Pour savoir comment créer un domaine personnalisé, consultez Création d'un nom de domaine personnalisé optimisé pour la périphérie ouConfiguration d'un nom de domaine personnalisé régional dans API Gateway.
Pour modifier la politique de sécurité de votre nom de domaine personnalisé, mettez à jour les paramètres de domaine personnalisés. Vous pouvez mettre à jour vos paramètres de nom de domaine personnalisés à l'aide du AWS Management Console AWS CLI, du ou d'un AWS SDK.
Lorsque vous utilisez l'API REST API Gateway ou AWS CLI que vous spécifiez la nouvelle version de TLS, TLS_1_0
ou TLS_1_2
dans le securityPolicy
paramètre. Pour plus d'informations, consultez domainname:update dans le manuel Amazon API Gateway REST API Gateway ou update-domain-namedans le document de référence.AWS CLI
L'opération de mise à jour peut prendre quelques minutes.
Politiques de sécurité, versions du protocole TLS et chiffrements pris en charge pour les domaines personnalisés optimisés pour les périphériques
Le tableau suivant décrit les politiques de sécurité qui peuvent être spécifiées pour les noms de domaine personnalisés optimisés pour les périphériques.
Politique de sécurité | TLS_1_0 | TLS_1_2 |
---|---|---|
Protocoles TLS | ||
TLSv1.3 | ♦ | ♦ |
TLSv1.2 | ♦ | ♦ |
TLSv1.1 | ♦ | |
TLSv1 | ♦ | |
Chiffrements TLS | ||
TLS_AES_128_GCM_SHA256 | ♦ | ♦ |
TLS_AES_256_GCM_SHA384 | ♦ | ♦ |
TLS_CHACHA20_POLY1305_SHA256 | ♦ | ♦ |
ECDHE-ECDSA-AES128-GCM-SHA256 | ♦ | ♦ |
ECDHE-ECDSA-AES128-SHA256 | ♦ | ♦ |
ECDHE-ECDSA-AES128-SHA | ♦ | |
ECDHE-ECDSA-AES256-GCM-SHA384 | ♦ | ♦ |
ECDHE-ECDSA-CHACHA20-POLY1305 | ♦ | ♦ |
ECDHE-ECDSA-AES256-SHA384 | ♦ | ♦ |
ECDHE-ECDSA-AES256-SHA | ♦ | |
ECDHE-RSA-AES128-GCM-SHA256 | ♦ | ♦ |
ECDHE-RSA-AES128-SHA256 | ♦ | ♦ |
ECDHE-RSA-AES128-SHA | ♦ | |
ECDHE-RSA-AES256-GCM-SHA384 | ♦ | ♦ |
ECDHE-RSA-CHACHA20-POLY1305 | ♦ | ♦ |
ECDHE-RSA-AES256-SHA384 | ♦ | ♦ |
ECDHE-RSA-AES256-SHA | ♦ | |
AES128-GCM-SHA256 | ♦ | |
AES256-GCM-SHA384 | ♦ | ♦ |
AES128-SHA256 | ♦ | ♦ |
AES256-SHA | ♦ | |
AES128-SHA | ♦ | |
DES-CBC3-SHA | ♦ |
Politiques de sécurité, versions du protocole TLS et chiffrements pris en charge pour les domaines personnalisés régionaux
Le tableau suivant décrit les politiques de sécurité qui peuvent être spécifiées pour les noms de domaine personnalisés régionaux.
Politique de sécurité | TLS_1_0 | TLS_1_2 |
---|---|---|
Protocoles TLS | ||
TLSv1.3 |
♦ | ♦ |
TLSv1.2 |
♦ | ♦ |
TLSv1.1 |
♦ | |
TLSv1 |
♦ | |
Chiffrements TLS | ||
TLS_AES_128_GCM_SHA256 |
♦ | ♦ |
TLS_AES_256_GCM_SHA384 |
♦ | ♦ |
TLS_CHACHA20_POLY1305_SHA256 |
♦ | ♦ |
ECDHE-ECDSA-AES128-GCM-SHA256 |
♦ | ♦ |
ECDHE-RSA-AES128-GCM-SHA256 |
♦ | ♦ |
ECDHE-ECDSA-AES128-SHA256 |
♦ | ♦ |
ECDHE-RSA-AES128-SHA256 |
♦ | ♦ |
ECDHE-ECDSA-AES128-SHA |
♦ | |
ECDHE-RSA-AES128-SHA |
♦ | |
ECDHE-ECDSA-AES256-GCM-SHA384 |
♦ | ♦ |
ECDHE-RSA-AES256-GCM-SHA384 |
♦ | ♦ |
ECDHE-ECDSA-AES256-SHA384 |
♦ | ♦ |
ECDHE-RSA-AES256-SHA384 |
♦ | ♦ |
ECDHE-RSA-AES256-SHA |
♦ | |
ECDHE-ECDSA-AES256-SHA |
♦ | |
AES128-GCM-SHA256 |
♦ | ♦ |
AES128-SHA256 |
♦ | ♦ |
AES128-SHA |
♦ | |
AES256-GCM-SHA384 |
♦ | ♦ |
AES256-SHA256 |
♦ | ♦ |
AES256-SHA |
♦ |
Versions de protocole TLS et chiffrements pris en charge pour les API privées
Le tableau suivant décrit le protocole TLS pris en charge et les chiffrements pour les API privées. La spécification d'une politique de sécurité pour les API privées n'est pas prise en charge.
Politique de sécurité | TLS_1_2 |
---|---|
Protocoles TLS | |
TLSv1.2 |
♦ |
Chiffrements TLS | |
ECDHE-ECDSA-AES128-GCM-SHA256 |
♦ |
ECDHE-RSA-AES128-GCM-SHA256 |
♦ |
ECDHE-ECDSA-AES128-SHA256 |
♦ |
ECDHE-RSA-AES128-SHA256 |
♦ |
ECDHE-ECDSA-AES256-GCM-SHA384 | ♦ |
ECDHE-RSA-AES256-GCM-SHA384 | ♦ |
ECDHE-ECDSA-AES256-SHA384 | ♦ |
ECDHE-RSA-AES256-SHA384 | ♦ |
AES128-GCM-SHA256 | ♦ |
AES128-SHA256 | ♦ |
AES256-GCM-SHA384 | ♦ |
AES256-SHA256 | ♦ |
Noms de chiffrement OpenSSL et RFC
OpenSSL et IETF RFC 5246 utilisent des noms différents pour les mêmes chiffrements. Le tableau suivant met en correspondance le nom OpenSSL et le nom RFC pour chaque chiffrement.
Nom de chiffrement OpenSSL | Nom de chiffrement RFC |
---|---|
TLS_AES_128_GCM_SHA256 |
TLS_AES_128_GCM_SHA256 |
TLS_AES_256_GCM_SHA384 |
TLS_AES_256_GCM_SHA384 |
TLS_CHACHA20_POLY1305_SHA256 |
TLS_CHACHA20_POLY1305_SHA256 |
ECDHE-RSA-AES128-GCM-SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
ECDHE-RSA-AES128-SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
ECDHE-RSA-AES128-SHA |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
ECDHE-RSA-AES256-GCM-SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
ECDHE-RSA-AES256-SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
ECDHE-RSA-AES256-SHA |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
AES128-GCM-SHA256 |
TLS_RSA_WITH_AES_128_GCM_SHA256 |
AES256-GCM-SHA384 |
TLS_RSA_WITH_AES_256_GCM_SHA384 |
AES128-SHA256 |
TLS_RSA_WITH_AES_128_CBC_SHA256 |
AES256-SHA |
TLS_RSA_WITH_AES_256_CBC_SHA |
AES128-SHA |
TLS_RSA_WITH_AES_128_CBC_SHA |
DES-CBC3-SHA |
TLS_RSA_WITH_3DES_EDE_CBC_SHA |
Informations sur les API HTTP et les WebSocket API
Pour plus d'informations sur les API HTTP et WebSocket les API, consultez Politique de sécurité pour les API HTTP etPolitique de sécurité pour les WebSocket API.