Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Prioriser la sécurité des API
Toutes les applications doivent garantir que seuls les clients autorisés ont accès à leurs ressources d'API. Lorsque vous concevez une application multiniveau, vous pouvez tirer parti des différentes manières dont Amazon API Gateway contribue à sécuriser votre niveau logique :
Sûreté du transit
Toutes les demandes qui vous sont adressées APIs peuvent être effectuées via HTTPS pour permettre le chiffrement en transit.
API Gateway fournit un SSL/TLS Certificates – if using the custom domain name option
for public-facing APIs, you can provide your own SSL/TLS certificat intégré à l'aide d'AWS Certificate Manager
Autorisation d’API
Chaque combinaison ressource/méthode que vous créez dans le cadre de votre API se voit attribuer un nom de ressource Amazon (ARN) unique qui peut être référencé dans les politiques AWS Identity and Access Management (IAM).
Il existe trois méthodes générales pour ajouter une autorisation à une API dans API Gateway :
-
Rôles et politiques IAM : les clients utilisent l'autorisation AWS Signature version 4 (SigV4) et les politiques IAM pour accéder aux API. Les mêmes informations d'identification peuvent restreindre ou autoriser l'accès à d'autres AWS services et ressources selon les besoins (par exemple, les compartiments Amazon S3 ou les tables Amazon DynamoDB).
-
Groupes d'utilisateurs Amazon Cognito : les clients se connectent via un groupe d'utilisateurs Amazon
Cognito et obtiennent des jetons, qui sont inclus dans l'en-tête d'autorisation d'une demande. -
Autorisateur Lambda : définissez une fonction Lambda qui implémente un schéma d'autorisation personnalisé qui utilise une stratégie de jeton porteur (par exemple, OAuth et SAML) ou utilise des paramètres de demande pour identifier les utilisateurs.
Restrictions d'accès
API Gateway prend en charge la génération de clés d'API et l'association de ces clés à un plan d'utilisation configurable. Vous pouvez surveiller l'utilisation des clés d'API avec CloudWatch.
API Gateway prend en charge la régulation, les limites de débit et les limites de fréquence de rafale pour chaque méthode de votre API.
Privé APIs
À l'aide d'API Gateway, vous pouvez créer un REST APIs privé accessible uniquement depuis votre cloud privé virtuel dans Amazon VPC à l'aide d'un point de terminaison VPC d'interface. Il s'agit d'une interface réseau de point de terminaison que vous créez dans votre VPC.
À l'aide de politiques relatives aux ressources, vous pouvez activer ou refuser l'accès à votre API à partir de points de terminaison sélectionnés VPCs et VPC, y compris sur les comptes AWS. Chaque point de terminaison peut être utilisé pour accéder à plusieurs comptes privés APIs. Vous pouvez également utiliser AWS Direct Connect pour établir une connexion à partir d'un réseau sur site à Amazon VPC et accéder à votre API privée avec cette connexion.
Dans tous les cas, le trafic vers votre API privée utilise des connexions sécurisées et ne quitte pas le réseau Amazon : il est isolé de l'Internet public.
Protection par pare-feu à l'aide d'AWS WAF
Les personnes connectées à Internet APIs sont vulnérables aux attaques malveillantes. AWS WAF est un pare-feu d'applications Web qui permet APIs de se protéger contre de telles attaques. Il APIs protège contre les exploits Web courants tels que l'injection SQL et les attaques par script intersite. Vous pouvez l'utiliser AWS WAF
