REST API private in Gateway API - Amazon API Gateway
Best practice per le API privateConsiderazioni relative alle API privatePassaggi successivi per le API private

REST API private in Gateway API

Un'API privata è una REST API richiamabile solo all'interno di un VPC Amazon. Puoi accedere all'API utilizzando un endpoint VPC di interfaccia, che è un'interfaccia di rete endpoint creata nel VPC. Gli endpoint di interfaccia sono basati su AWS PrivateLink, una tecnologia che consente l'accesso privato ai servizi AWS tramite indirizzi IP privati.

Puoi anche utilizzare AWS Direct Connect per stabilire una connessione da una rete on-premises ad Amazon VPC e accedere all'API privata su quella connessione. In ogni caso, il traffico alla tua API privata utilizza connessioni sicure ed è isolato dalla rete Internet pubblica. Il traffico non esce dalla rete Amazon.

Best practice per le API private

È consigliabile utilizzare le best practice seguenti durante la creazione di un'API privata.

  • Usa un unico endpoint VPC per accedere a più API private. In questo modo si riduce il numero di endpoint VPC di cui potresti aver bisogno.

  • Associa il tuo endpoint VPC alla tua API. In questo modo viene creato un record DNS alias di Route 53 e risulta più semplice invocare l'API privata.

  • Attiva il DNS privato per il tuo VPC. Quando attivi il DNS privato per il tuo VPC, puoi invocare l'API all'interno di un VPC senza passare l'intestazione Host o x-apigw-api-id.

    Se attivi il DNS privato, non puoi accedere all'endpoint predefinito per le API pubbliche. Per accedere all'endpoint predefinito per le API pubbliche, puoi disattivare il DNS privato, creare una zona ospitata privata per ogni API privata nel tuo VPC e quindi effettuare il provisioning dei record richiesti in Route 53. Questo consente la risoluzione della tua API e ti permette comunque di invocare l'endpoint pubblico predefinito dal tuo VPC. Per ulteriori informazioni consulta Creating a private hosted zone (Creazione di una zona ospitata privata).

  • Limita l'accesso alla tua API privata a VPC o endpoint VPC specifici. Aggiungi le condizioni aws:SourceVpc o aws:SourceVpce alla policy delle risorse dell'API per limitare l'accesso.

  • Per la massima sicurezza del perimetro dati, puoi creare una policy degli endpoint VPC. Questo controlla l'accesso agli endpoint VPC che possono invocare la tua API privata.

Considerazioni relative alle API private

Le seguenti considerazioni potrebbero influire sull'utilizzo delle API private.

  • Sono supportate solo le REST API.

  • Non è possibile convertire un'API privata in un'API ottimizzata per l'edge.

  • Le API private supportano solo TLS 1.2. Le versioni precedenti di TLS non sono supportate.

  • È possibile inviare traffico utilizzando tutti i tipi di indirizzi IP supportati da Amazon VPC. È possibile inviare traffico dualstack e IPv6 configurando le impostazioni sull'endpoint VPC. Questa configurazione non può essere modificata tramite Gateway API. Per ulteriori informazioni, consulta Aggiungere il supporto IPv6 per il VPC.

  • Gli endpoint VPC per le API private sono soggetti alle stesse limitazioni degli altri endpoint VPC dell'interfaccia. Per ulteriori informazioni, consulta Accesso a un servizio AWS utilizzando un endpoint VPC di interfaccia nella Guida di AWS PrivateLink. Per ulteriori informazioni sull'utilizzo di API Gateway con VPC condivisi e sottoreti condivise, consulta Shared subnetsnella Guida AWS PrivateLink.

Passaggi successivi per le API private

Per informazioni su come creare un'API privata e associare un endpoint VPC, consulta Creazione di un'API privata. Per seguire un tutorial in cui si creano dipendenze in AWS CloudFormation e un'API privata nella AWS Management Console, consulta Tutorial: creazione di una REST API privata.