Scegli una politica di sicurezza per il tuo dominio REST API personalizzato in API Gateway - Amazon API Gateway
Come specificare una politica di sicurezza per i domini personalizzatiPolitiche di sicurezza, versioni di TLS protocollo e cifrari supportati per domini personalizzati ottimizzati per i dispositivi perimetraliPolitiche di sicurezza, versioni di TLS protocollo e cifrari supportati per domini personalizzati regionaliVersioni di TLS protocollo e cifrari supportati per uso privato APIsNomi aperti SSL e cifrati RFCInformazioni su HTTP APIs e WebSocket APIs

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scegli una politica di sicurezza per il tuo dominio REST API personalizzato in API Gateway

Per una maggiore sicurezza del tuo dominio personalizzato Amazon API Gateway, puoi scegliere una policy di sicurezza nella console API Gateway AWS CLI, o un AWS SDK.

Una policy di sicurezza è una combinazione predefinita di TLS versioni minime e suite di crittografia offerte da Gateway. API È possibile scegliere una politica di sicurezza della TLS versione 1.2 o della TLS versione 1.0. Il TLS protocollo risolve problemi di sicurezza della rete come la manomissione e l'intercettazione tra client e server. Quando i client stabiliscono una TLS stretta di mano nei vostri confronti API tramite il dominio personalizzato, la politica di sicurezza applica la TLS versione e le opzioni della suite di crittografia che i clienti possono scegliere di utilizzare.

Nelle impostazioni del dominio personalizzato, una policy di sicurezza determina due impostazioni:

  • La TLS versione minima utilizzata da API Gateway per comunicare con i client API

  • Il codice utilizzato da API Gateway per crittografare il contenuto che restituisce ai client API

Se scegli una politica di sicurezza TLS 1.0, la politica di sicurezza accetta il traffico TLS 1.0, TLS 1.2 e TLS 1.3. Se scegli una politica di sicurezza TLS 1.2, la politica di sicurezza accetta il traffico TLS 1.2 e TLS 1.3 e rifiuta il traffico TLS 1.0.

Nota

È possibile specificare una politica di sicurezza solo per un dominio personalizzato. Per API utilizzare un endpoint predefinito, API Gateway utilizza la seguente politica di sicurezza:

  • Per soluzioni ottimizzate per i dispositivi periferici: APIs TLS-1-0

  • Per Regional: APIs TLS-1-0

  • Per uso privatoAPIs: TLS-1-2

I codici per ogni politica di sicurezza sono descritti nelle tabelle seguenti di questa pagina.

Come specificare una politica di sicurezza per i domini personalizzati

Quando si crea un nome di dominio personalizzato, si specifica la relativa politica di sicurezza. Per informazioni su come creare un dominio personalizzato, consulta Configura un nome di dominio personalizzato ottimizzato per i dispositivi periferici in Gateway API oConfigura un nome di dominio personalizzato regionale in API Gateway.

Per modificare la politica di sicurezza del tuo nome di dominio personalizzato, aggiorna le impostazioni del dominio personalizzato. Puoi aggiornare le impostazioni del nome di dominio personalizzato utilizzando il AWS Management Console AWS CLI, o un AWS SDK.

Quando si utilizza il API Gateway REST API o AWS CLI, si specifica la nuova TLS versione TLS_1_0 o TLS_1_2 nel securityPolicy parametro. Per ulteriori informazioni, consulta domainname:update in Amazon API Gateway REST API Reference o update-domain-namenel Reference.AWS CLI

Il completamento dell'operazione di aggiornamento potrebbe richiedere alcuni minuti.

Politiche di sicurezza, versioni di TLS protocollo e cifrari supportati per domini personalizzati ottimizzati per i dispositivi perimetrali

La tabella seguente descrive le politiche di sicurezza che possono essere specificate per i nomi di dominio personalizzati ottimizzati per i bordi.

TLSprotocolli

TLSpolitica di sicurezza _1_0

TLS_1_2 politica di sicurezza
TLSv1.3.
TLSv12.
TLSv1.1. No
TLSv1 No

La tabella seguente descrive i TLS codici disponibili per ogni politica di sicurezza.

TLScifrari

TLSpolitica di sicurezza _1_0

TLS_1_2 politica di sicurezza
TLS_ _128_ _ AES GCM SHA256
TLS_ _256_ _ AES GCM SHA384
TLS_ 0_ 05_ CHACHA2 POLY13 SHA256
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA No
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE- ECDSA - CHACHA2 0- 05 POLY13
ECDHE-ECDSA-AES256-SHA384
ECDHE-ECDSA-AES256-SHA No
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA No
ECDHE-RSA-AES256-GCM-SHA384
ECDHE- RSA - CHACHA2 0- POLY13 05
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA No
AES128-GCM-SHA256 No
AES256-GCM-SHA384
AES128-SHA256
AES256-SHA No
AES128-SHA No
DES-CBC3-SHA No

Politiche di sicurezza, versioni di TLS protocollo e cifrari supportati per domini personalizzati regionali

La tabella seguente descrive le politiche di sicurezza per i nomi di dominio personalizzati regionali.

TLSprotocolli

TLSpolitica di sicurezza _1_0

TLS_1_2 politica di sicurezza

TLSv1.3.

TLSv12.

TLSv1.1.

 No

TLSv1

 No

La tabella seguente descrive i TLS codici disponibili per ogni politica di sicurezza.

TLScifrari

TLSpolitica di sicurezza _1_0

TLS_1_2 politica di sicurezza

TLS_ _128_ _ AES GCM SHA256

TLS_ _256_ _ AES GCM SHA384

TLS_ 0_ 05_ CHACHA2 POLY13 SHA256

ECDHE-ECDSA-AES128-GCM-SHA256

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-ECDSA-AES128-SHA256

ECDHE-RSA-AES128-SHA256

ECDHE-ECDSA-AES128-SHA

 No

ECDHE-RSA-AES128-SHA

 No

ECDHE-ECDSA-AES256-GCM-SHA384

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES256-SHA384

ECDHE-RSA-AES256-SHA

 No

ECDHE-ECDSA-AES256-SHA

 No

AES128-GCM-SHA256

AES128-SHA256

AES128-SHA

 No

AES256-GCM-SHA384

AES256-SHA256

AES256-SHA

 No

Versioni di TLS protocollo e cifrari supportati per uso privato APIs

La tabella seguente descrive i TLS protocolli supportati per uso privato. APIs La specificazione di una politica di sicurezza per uso privato non APIs è supportata.

TLSprotocolli

TLS_1_2 politica di sicurezza

TLSv1.2.

La tabella seguente descrive TLS i codici disponibili per la politica di TLS_1_2 sicurezza privataAPIs. ogni politica di sicurezza.

TLScifrari

TLS_1_2 politica di sicurezza

ECDHE-ECDSA-AES128-GCM-SHA256

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-ECDSA-AES128-SHA256

ECDHE-RSA-AES128-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA384
AES128-GCM-SHA256
AES128-SHA256
AES256-GCM-SHA384
AES256-SHA256

Nomi aperti SSL e cifrati RFC

Open SSL e IETF RFC 5246 utilizzano nomi diversi per gli stessi cifrari. La tabella seguente associa il SSL nome Open al nome di ogni RFC cifrario.

Nome cifrato aperto SSL

RFCnome del cifrario

TLS_ _128_ _ AES GCM SHA256

TLS_ _128_ _ AES GCM SHA256

TLS_ _256_ _ AES GCM SHA384

TLS_ _256_ _ AES GCM SHA384

TLS_ 0_ 05_ CHACHA2 POLY13 SHA256

TLS_ 0_ 05_ CHACHA2 POLY13 SHA256

ECDHE-RSA-AES128-GCM-SHA256

TLS_ _ _ ECDHE _ RSA _128_ WITH _ AES GCM SHA256

ECDHE-RSA-AES128-SHA256

TLS_ _ _ ECDHE _ RSA _128_ WITH _ AES CBC SHA256

ECDHE-RSA-AES128-SHA

TLS_ _ _ ECDHE _ RSA _128_ WITH _ AES CBC SHA

ECDHE-RSA-AES256-GCM-SHA384

TLS_ _ _ ECDHE _ RSA _256_ WITH _ AES GCM SHA384

ECDHE-RSA-AES256-SHA384

TLS_ _ _ ECDHE _ RSA _256_ WITH _ AES CBC SHA384

ECDHE-RSA-AES256-SHA

TLS_ _ _ ECDHE _ RSA _256_ WITH _ AES CBC SHA

AES128-GCM-SHA256

TLS_ _ _ RSA _128_ WITH _ AES GCM SHA256

AES256-GCM-SHA384

TLS_ _ _ RSA _256_ WITH _ AES GCM SHA384

AES128-SHA256

TLS_ _ _ RSA _128_ WITH _ AES CBC SHA256

AES256-SHA

TLS_ _ _ RSA _256_ WITH _ AES CBC SHA

AES128-SHA

TLS_ _ _ RSA _128_ WITH _ AES CBC SHA

DES-CBC3-SHA

TLS_ RSA _ WITH _3 DES _ _ _ EDE CBC SHA

Informazioni su HTTP APIs e WebSocket APIs

Per ulteriori informazioni su HTTP APIs e WebSocket APIs, vedere Politica di sicurezza per HTTP APIs in API Gateway ePolitica di sicurezza per WebSocket APIs in API Gateway.