Utilisation de stratégies de point de terminaison de VPC pour des API privées dans API Gateway - Amazon API Gateway

Utilisation de stratégies de point de terminaison de VPC pour des API privées dans API Gateway

Vous pouvez améliorer la sécurité de vos API privées en configurant API Gateway de manière à utiliser un point de terminaison de VPC d’interface. Les points de terminaison d'interface reposent sur AWS PrivateLink , une technologie qui vous permet d'accéder de façon privée aux services AWS via des adresses IP privées. Pour plus d'informations sur la création de points de terminaison de VPC, consultez Création d'un point de terminaison d'interface.

Une stratégie de point de terminaison de VPC est une stratégie de ressource IAM que vous pouvez attacher à un point de terminaison de VPC d'interface pour contrôler l'accès à ce dernier. Pour plus d’informations, consultez Contrôle de l'accès aux services avec des points de terminaison de VPC. Vous pouvez utiliser une stratégie de point de terminaison pour que l’accès à vos API privées soit limité pour le trafic sortant de votre réseau interne. Vous pouvez choisir d'autoriser ou d’interdire l'accès à des API privées spécifiques accessibles via le point de terminaison de VPC.

Les stratégies de point de terminaison de VPC peuvent être utilisées conjointement avec des stratégies de ressources API Gateway. La stratégie de ressources est utilisée pour spécifier les mandataires pouvant accéder à l'API. La stratégie de point de terminaison spécifie les API privées pouvant être appelées via le point de terminaison de VPC. Pour plus d'informations sur les stratégies de ressources, consultez Contrôle d'accès à une API avec des stratégies de ressources API Gateway.

Exemples de stratégie de point de terminaison de VPC

Vous pouvez créer des stratégies pour les points de terminaison Amazon Virtual Private Cloud pour Amazon API Gateway dans lesquels vous pouvez spécifier :

  • Le mandataire qui peut exécuter des actions.

  • Les actions qui peuvent être effectuées.

  • Les ressources qui peuvent avoir des actions exécutées sur elles.

Pour attacher la stratégie au point de terminaison de VPC, vous devez utiliser la console VPC. Pour plus d’informations, consultez Contrôle de l'accès aux services avec des points de terminaison de VPC.

Exemple 1 : Stratégie de point de terminaison de VPC accordant l’accès à deux API

L'exemple de stratégie suivant accorde l'accès à seulement deux API spécifiques via le point de terminaison de VPC auquel la stratégie est attachée.

{ "Statement": [ { "Principal": "*", "Action": [ "execute-api:Invoke" ], "Effect": "Allow", "Resource": [ "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/*", "arn:aws:execute-api:us-east-1:123412341234:aaaaa11111/*" ] } ] }

Exemple 2 : Stratégie de point de terminaison de VPC accordant l’accès aux méthodes GET

L'exemple de stratégie suivant accorde aux utilisateurs l'accès aux méthodes GET pour une API spécifique via le point de terminaison de VPC auquel la stratégie est attachée.

{ "Statement": [ { "Principal": "*", "Action": [ "execute-api:Invoke" ], "Effect": "Allow", "Resource": [ "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/stageName/GET/*" ] } ] }

Exemple 3 : Stratégie de point de terminaison de VPC accordant à un utilisateur spécifique l’accès à une API spécifique

L'exemple de stratégie suivant accorde à un utilisateur spécifique l'accès à une API spécifique via le point de terminaison de VPC auquel la stratégie est attachée.

{ "Statement": [ { "Principal": { "AWS": [ "arn:aws:iam::123412341234:user/MyUser" ] }, "Action": [ "execute-api:Invoke" ], "Effect": "Allow", "Resource": [ "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/*" ] } ] }