VPCconsidérations relatives aux politiques relatives aux terminaux VPCexemples de politiques relatives aux terminaux Exemple 1 : politique de VPC point de terminaison accordant l'accès à deux APIs Exemple 2 : politique de VPC point de terminaison accordant l'accès aux GET méthodes Exemple 3 : politique de VPC point de terminaison accordant à un utilisateur spécifique l'accès à un API

Utiliser des politiques de VPC point de terminaison pour APIs la confidentialité dans API Gateway

Pour améliorer la sécurité de votre vie privéeAPI, vous pouvez créer une politique de point de VPC terminaison. Une politique de VPC point de terminaison est une politique de IAM ressources que vous attachez à un VPC point de terminaison. Pour plus d'informations, consultez la section Contrôle de l'accès aux services à l'aide de VPC points de terminaison.

Vous souhaiterez peut-être créer une politique de VPC point de terminaison pour effectuer les tâches suivantes.

Autorisez uniquement certaines organisations ou ressources à accéder à votre VPC point de terminaison et à invoquer votreAPI.
Utilisez une politique unique et évitez les politiques basées sur les sessions ou les rôles pour contrôler le trafic vers votre. API
Resserrez le périmètre de sécurité de votre application lors de la migration d'une application sur site vers AWS.

VPCconsidérations relatives aux politiques relatives aux terminaux

Vous trouverez ci-dessous des éléments à prendre en compte pour votre politique relative aux VPC terminaux.

L'identité de l'invocateur est évaluée en fonction de la valeur de l'en-tête Authorization. Selon votre authorizationType, cela peut entraîner une erreur 403 IncompleteSignatureException ou une erreur 403 InvalidSignatureException. Le tableau suivant affiche les valeurs d'en-tête Authorization pour chaque authorizationType.

`authorizationType`	`Authorization`en-tête évalué ?	Valeurs `Authorization` d'en-tête autorisées
`NONE` avec la stratégie d'accès complet par défaut	Non	Non validé
`NONE` avec une stratégie d'accès personnalisée	Oui	Doit être une valeur SigV4 valide
`IAM`	Oui	Doit être une valeur SigV4 valide
`CUSTOM` ou `COGNITO_USER_POOLS`	Non	Non validé

Si une politique restreint l'accès à un IAM principal spécifique, par exemplearn:aws:iam::account-id:role/developer, vous devez définir la méthode authorizationType API de votre choix sur AWS_IAM ouNONE. Pour plus d'instructions sur la façon de définir le authorizationType pour une méthode, consultezMéthodes pour REST APIs in API Gateway.
VPCles politiques de point de terminaison peuvent être utilisées conjointement avec les politiques de ressources de API passerelle. La politique de ressources de la API passerelle indique quels principaux peuvent accéder auAPI. La politique du point de terminaison précise qui peut accéder au point de terminaison VPC et qui APIs peut être appelé à partir du VPC point de terminaison. Votre espace privé API a besoin d'une politique de ressources, mais vous n'avez pas besoin de créer une politique de point de VPC terminaison personnalisée.

VPCexemples de politiques relatives aux terminaux

Vous pouvez créer des politiques pour les points de terminaison Amazon Virtual Private Cloud pour Amazon API Gateway dans lesquelles vous pouvez spécifier les éléments suivants.

Le principal qui peut exécuter des actions.
Les actions qui peuvent être effectuées.
Les ressources qui peuvent avoir des actions exécutées sur elles.

Pour associer la politique au VPC point de terminaison, vous devez utiliser la VPC console. Pour plus d'informations, consultez la section Contrôle de l'accès aux services à l'aide de VPC points de terminaison.

Exemple 1 : politique de VPC point de terminaison accordant l'accès à deux APIs

L'exemple de politique suivant n'accorde l'accès qu'à deux points spécifiques APIs via le VPC point de terminaison auquel la politique est attachée.


{
    "Statement": [
        {
            "Principal": "*",
            "Action": [
                "execute-api:Invoke"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/*",
                "arn:aws:execute-api:us-east-1:123412341234:aaaaa11111/*"
            ]
        }
    ]
}

Exemple 2 : politique de VPC point de terminaison accordant l'accès aux GET méthodes

L'exemple de politique suivant accorde aux utilisateurs l'accès aux GET méthodes d'un point de VPC terminaison spécifique API via le point de terminaison auquel la politique est attachée.


{
    "Statement": [
        {
            "Principal": "*",
            "Action": [
                "execute-api:Invoke"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/stageName/GET/*"
            ]
        }
    ]
}

Exemple 3 : politique de VPC point de terminaison accordant à un utilisateur spécifique l'accès à un API

L'exemple de politique suivant accorde à un utilisateur spécifique l'accès à un point de VPC terminaison spécifique API via le point de terminaison auquel la politique est attachée.

Dans ce cas, étant donné que la politique restreint l'accès à IAM des principes spécifiques, vous devez définir authorizationType la méthode sur ou. AWS_IAM NONE


{
    "Statement": [
        {
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123412341234:user/MyUser"
                ]
            },
            "Action": [
                "execute-api:Invoke"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/*"
            ]
        }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Création et attachement d'une stratégie à un utilisateur

Utilisation de balises pour contrôler l'accès à une API REST