Cara menentukan kebijakan keamanan untuk domain kustom Kebijakan keamanan, versi TLS protokol, dan cipher yang didukung untuk domain kustom yang dioptimalkan tepi Kebijakan keamanan, versi TLS protokol, dan cipher yang didukung untuk domain kustom Regional Versi TLS protokol dan cipher yang didukung untuk pribadi APIs Buka SSL dan RFC nama sandi Informasi tentang HTTP APIs dan WebSocket APIs

Pilih kebijakan keamanan untuk domain REST API kustom Anda di API Gateway

Untuk keamanan domain kustom Amazon API Gateway yang lebih baik, Anda dapat memilih kebijakan keamanan di konsol API Gateway, konsol AWS CLI, atau file AWS SDK.

Kebijakan keamanan adalah kombinasi standar dari TLS versi minimum dan cipher suite yang ditawarkan oleh Gateway. API Anda dapat memilih kebijakan keamanan TLS versi 1.2 atau TLS versi 1.0. TLSProtokol ini menangani masalah keamanan jaringan seperti gangguan dan penyadapan antara klien dan server. Ketika klien Anda membuat TLS jabat tangan untuk Anda API melalui domain kustom, kebijakan keamanan memberlakukan TLS versi dan pilihan cipher suite klien Anda dapat memilih untuk digunakan.

Dalam pengaturan domain kustom, kebijakan keamanan menentukan dua pengaturan:

TLSVersi minimum yang digunakan API Gateway untuk berkomunikasi dengan API klien
Cipher yang digunakan API Gateway untuk mengenkripsi konten yang dikembalikan ke klien API

Jika Anda memilih kebijakan keamanan TLS 1.0, kebijakan keamanan menerima lalu lintas TLS 1.0, TLS 1.2, dan TLS 1.3. Jika Anda memilih kebijakan keamanan TLS 1.2, kebijakan keamanan menerima lalu lintas TLS 1.2 dan TLS 1.3 dan menolak lalu lintas TLS 1.0.

catatan

Anda hanya dapat menentukan kebijakan keamanan untuk domain kustom. Untuk API menggunakan titik akhir default, API Gateway menggunakan kebijakan keamanan berikut:

Untuk tepi APIs yang dioptimalkan: TLS-1-0
Untuk RegionalAPIs: TLS-1-0
Untuk pribadiAPIs: TLS-1-2

Cipher untuk setiap kebijakan keamanan dijelaskan dalam tabel berikut di halaman ini.

Topik

Cara menentukan kebijakan keamanan untuk domain kustom
Kebijakan keamanan, versi TLS protokol, dan cipher yang didukung untuk domain kustom yang dioptimalkan tepi
Kebijakan keamanan, versi TLS protokol, dan cipher yang didukung untuk domain kustom Regional
Versi TLS protokol dan cipher yang didukung untuk pribadi APIs
Buka SSL dan RFC nama sandi
Informasi tentang HTTP APIs dan WebSocket APIs

Cara menentukan kebijakan keamanan untuk domain kustom

Saat Anda membuat nama domain kustom, Anda menentukan kebijakan keamanan untuk itu. Untuk mempelajari cara membuat domain kustom, lihat Siapkan nama domain kustom yang dioptimalkan tepi di Gateway API atauMenyiapkan nama domain kustom Regional di API Gateway.

Untuk mengubah kebijakan keamanan nama domain kustom Anda, perbarui pengaturan domain kustom. Anda dapat memperbarui pengaturan nama domain kustom Anda menggunakan AWS Management Console, file AWS CLI, atau file AWS SDK.

Saat Anda menggunakan API Gateway REST API atau AWS CLI, tentukan TLS versi baru, TLS_1_0 atau TLS_1_2 dalam securityPolicy parameter. Untuk informasi selengkapnya, lihat domainname:update di Referensi APIAmazon REST API Gateway atau di Referensi update-domain-name.AWS CLI

Operasi pembaruan mungkin memakan waktu beberapa menit untuk diselesaikan.

Kebijakan keamanan, versi TLS protokol, dan cipher yang didukung untuk domain kustom yang dioptimalkan tepi

Tabel berikut menjelaskan kebijakan keamanan yang dapat ditentukan untuk nama domain kustom yang dioptimalkan tepi.

TLSprotokol	TLS_1_0 kebijakan keamanan	TLS_1_2 kebijakan keamanan
TLSv1.3	Ya	Ya
TLSv1.2	Ya	Ya
TLSv1.1	Ya	Tidak
TLSv1	Ya	Tidak

Tabel berikut menjelaskan TLS cipher yang tersedia untuk setiap kebijakan keamanan.

TLScipher	TLS_1_0 kebijakan keamanan	TLS_1_2 kebijakan keamanan
TLS_ AES GCM _128_ _ SHA256	Ya	Ya
TLS_ AES GCM _256_ _ SHA384	Ya	Ya
TLS_ CHACHA2 0_ 05_ POLY13 SHA256	Ya	Ya
ECDHE-ECDSA-AES128-GCM-SHA256	Ya	Ya
ECDHE-ECDSA-AES128-SHA256	Ya	Ya
ECDHE-ECDSA-AES128-SHA	Ya	Tidak
ECDHE-ECDSA-AES256-GCM-SHA384	Ya	Ya
ECDHE- ECDSA - CHACHA2 0- POLY13 05	Ya	Ya
ECDHE-ECDSA-AES256-SHA384	Ya	Ya
ECDHE-ECDSA-AES256-SHA	Ya	Tidak
ECDHE-RSA-AES128-GCM-SHA256	Ya	Ya
ECDHE-RSA-AES128-SHA256	Ya	Ya
ECDHE-RSA-AES128-SHA	Ya	Tidak
ECDHE-RSA-AES256-GCM-SHA384	Ya	Ya
ECDHE- RSA - CHACHA2 0- POLY13 05	Ya	Ya
ECDHE-RSA-AES256-SHA384	Ya	Ya
ECDHE-RSA-AES256-SHA	Ya	Tidak
AES128-GCM-SHA256	Ya	Tidak
AES256-GCM-SHA384	Ya	Ya
AES128-SHA256	Ya	Ya
AES256-SHA	Ya	Tidak
AES128-SHA	Ya	Tidak
DES-CBC3-SHA	Ya	Tidak

Kebijakan keamanan, versi TLS protokol, dan cipher yang didukung untuk domain kustom Regional

Tabel berikut menjelaskan kebijakan keamanan untuk nama domain kustom Regional.

TLSprotokol	TLS_1_0 kebijakan keamanan	TLS_1_2 kebijakan keamanan
TLSv1.3	Ya	Ya
TLSv1.2	Ya	Ya
TLSv1.1	Ya	Tidak
TLSv1	Ya	Tidak

Tabel berikut menjelaskan TLS cipher yang tersedia untuk setiap kebijakan keamanan.

TLScipher	TLS_1_0 kebijakan keamanan	TLS_1_2 kebijakan keamanan
TLS_ AES GCM _128_ _ SHA256	Ya	Ya
TLS_ AES GCM _256_ _ SHA384	Ya	Ya
TLS_ CHACHA2 0_ 05_ POLY13 SHA256	Ya	Ya
ECDHE-ECDSA-AES128-GCM-SHA256	Ya	Ya
ECDHE-RSA-AES128-GCM-SHA256	Ya	Ya
ECDHE-ECDSA-AES128-SHA256	Ya	Ya
ECDHE-RSA-AES128-SHA256	Ya	Ya
ECDHE-ECDSA-AES128-SHA	Ya	Tidak
ECDHE-RSA-AES128-SHA	Ya	Tidak
ECDHE-ECDSA-AES256-GCM-SHA384	Ya	Ya
ECDHE-RSA-AES256-GCM-SHA384	Ya	Ya
ECDHE-ECDSA-AES256-SHA384	Ya	Ya
ECDHE-RSA-AES256-SHA384	Ya	Ya
ECDHE-RSA-AES256-SHA	Ya	Tidak
ECDHE-ECDSA-AES256-SHA	Ya	Tidak
AES128-GCM-SHA256	Ya	Ya
AES128-SHA256	Ya	Ya
AES128-SHA	Ya	Tidak
AES256-GCM-SHA384	Ya	Ya
AES256-SHA256	Ya	Ya
AES256-SHA	Ya	Tidak

Versi TLS protokol dan cipher yang didukung untuk pribadi APIs

Tabel berikut menjelaskan TLS protokol yang didukung untuk pribadi. APIs Menentukan kebijakan keamanan untuk pribadi APIs tidak didukung.

TLSprotokol	TLS_1_2 kebijakan keamanan
TLSv1.2	Ya

Tabel berikut menjelaskan TLS cipher yang tersedia untuk kebijakan TLS_1_2 keamanan untuk APIs privat. setiap kebijakan keamanan.

TLScipher	TLS_1_2 kebijakan keamanan
ECDHE-ECDSA-AES128-GCM-SHA256	Ya
ECDHE-RSA-AES128-GCM-SHA256	Ya
ECDHE-ECDSA-AES128-SHA256	Ya
ECDHE-RSA-AES128-SHA256	Ya
ECDHE-ECDSA-AES256-GCM-SHA384	Ya
ECDHE-RSA-AES256-GCM-SHA384	Ya
ECDHE-ECDSA-AES256-SHA384	Ya
ECDHE-RSA-AES256-SHA384	Ya
AES128-GCM-SHA256	Ya
AES128-SHA256	Ya
AES256-GCM-SHA384	Ya
AES256-SHA256	Ya

Buka SSL dan RFC nama sandi

Buka SSL dan IETF RFC 5246 menggunakan nama yang berbeda untuk cipher yang sama. Tabel berikut memetakan SSL nama Open ke RFC nama untuk setiap cipher.

Buka SSL nama sandi	RFCnama sandi
TLS_ AES GCM _128_ _ SHA256	TLS_ AES GCM _128_ _ SHA256
TLS_ AES GCM _256_ _ SHA384	TLS_ AES GCM _256_ _ SHA384
TLS_ CHACHA2 0_ 05_ POLY13 SHA256	TLS_ CHACHA2 0_ 05_ POLY13 SHA256
ECDHE-RSA-AES128-GCM-SHA256	TLS_ _ ECDHE _ RSA WITH _ AES GCM _128_ _ SHA256
ECDHE-RSA-AES128-SHA256	TLS_ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA256
ECDHE-RSA-AES128-SHA	TLS_ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA
ECDHE-RSA-AES256-GCM-SHA384	TLS_ _ ECDHE _ RSA WITH _ AES GCM _256_ _ SHA384
ECDHE-RSA-AES256-SHA384	TLS_ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA384
ECDHE-RSA-AES256-SHA	TLS_ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA
AES128-GCM-SHA256	TLS_ _ RSA WITH _ AES GCM _128_ _ SHA256
AES256-GCM-SHA384	TLS_ _ RSA WITH _ AES GCM _256_ _ SHA384
AES128-SHA256	TLS_ _ RSA WITH _ AES CBC _128_ _ SHA256
AES256-SHA	TLS_ _ RSA WITH _ AES CBC _256_ _ SHA
AES128-SHA	TLS_ _ RSA WITH _ AES CBC _128_ _ SHA
DES-CBC3-SHA	TLS_ RSA _ _ WITH _ _ DES _ _ EDE _ CBC SHA

Informasi tentang HTTP APIs dan WebSocket APIs

Untuk informasi lebih lanjut tentang HTTP APIs dan WebSocket APIs, lihat Kebijakan keamanan untuk HTTP APIs di API Gateway danKebijakan keamanan untuk WebSocket APIs di API Gateway.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

APIpemetaan

Nonaktifkan titik akhir default