Politiche di sicurezza per REST APIs in API Gateway

Una policy di sicurezza è una combinazione predefinita di versione TLS minima e suite di crittografia offerta da Gateway API. Quando i tuoi clienti stabiliscono un handshake TLS per la tua API o il tuo nome di dominio personalizzato, la politica di sicurezza applica la versione TLS e la suite di crittografia accettate da API Gateway. Le politiche di sicurezza proteggono i tuoi nomi di dominio APIs e quelli personalizzati da problemi di sicurezza della rete, come la manomissione e l'intercettazione tra un client e un server.

API Gateway supporta policy di sicurezza legacy e policy di sicurezza avanzate. TLS_1_0e TLS_1_2 sono politiche di sicurezza obsolete. Utilizza queste politiche di sicurezza per la compatibilità con le versioni precedenti. Qualsiasi politica che inizia con SecurityPolicy_ è una politica di sicurezza avanzata. Utilizza queste policy per carichi di lavoro regolamentati, governance avanzata o per utilizzare la crittografia post-quantistica. Quando utilizzi una policy di sicurezza avanzata, devi anche impostare la modalità di accesso agli endpoint per una governance aggiuntiva. Per ulteriori informazioni, consulta Modalità di accesso agli endpoint.

In che modo API Gateway applica le politiche di sicurezza

L'esempio seguente mostra come API Gateway applica le policy di SecurityPolicy_TLS13_1_3_2025_09 sicurezza utilizzando la policy di sicurezza come esempio.

La politica SecurityPolicy_TLS13_1_3_2025_09 di sicurezza accetta il traffico TLS 1.3 e rifiuta il traffico TLS 1.2 e TLS 1.0. Per il traffico TLS 1.3, la politica di sicurezza accetta le seguenti suite di crittografia:

• TLS_AES_128_GCM_SHA256

• TLS_AES_256_GCM_SHA384

• TLS_CHACHA20_POLY1305_SHA256

API Gateway non accetta altre suite di crittografia. Ad esempio, la politica di sicurezza rifiuterebbe qualsiasi traffico TLS 1.3 che utilizza la suite di crittografia. AES128-SHA Per ulteriori informazioni sulle versioni e le crittografie TLS supportate, consulta. Politiche di sicurezza supportate

Per monitorare il protocollo TLS e i client di crittografia utilizzati per accedere al tuo API Gateway, puoi utilizzare le variabili $context.tlsVersion e di $context.cipherSuite contesto nei tuoi log di accesso. Per ulteriori informazioni, consulta Monitoraggio delle REST API in Gateway API.

Modalità di accesso agli endpoint

La modalità di accesso agli endpoint è un parametro aggiuntivo che è necessario specificare per qualsiasi API REST o nome di dominio personalizzato che utilizza una politica di sicurezza avanzata che inizia con. SecurityPolicy_ Questa operazione viene eseguita quando si crea la risorsa o se si modifica la politica di sicurezza da una politica precedente a una politica avanzata.

Quando la modalità di accesso agli endpoint è impostata suSTRICT, qualsiasi richiesta all'API REST o al nome di dominio personalizzato deve superare i seguenti controlli:

• La richiesta deve provenire dallo stesso tipo di endpoint API Gateway della risorsa. Potrebbe provenire da un endpoint regionale, ottimizzato per l'edge o privato.

• Se utilizzi un endpoint regionale o privato, API Gateway utilizza l'host matching SNI. Se utilizzi un endpoint ottimizzato per l'edge, API Gateway è conforme alla CloudFront protezione del fronting del dominio. Per ulteriori informazioni, consulta Domain fronting.

Se una di queste condizioni non viene soddisfatta, API Gateway rifiuta la richiesta. Si consiglia di utilizzare la modalità di accesso agli STRICT endpoint quando possibile.

Per migrare un'API o un nome di dominio esistente per utilizzare la modalità di accesso agli endpoint rigorosa, aggiorna innanzitutto la policy di sicurezza con una policy di sicurezza avanzata e mantieni impostata la modalità di accesso agli endpoint. BASIC Dopo aver convalidato i registri del traffico e degli accessi, imposta la modalità di accesso agli endpoint su. STRICT Quando esegui la migrazione della modalità di accesso all'endpoint da STRICT aBASIC, l'endpoint non sarà disponibile per circa 15 minuti man mano che le modifiche si propagano.

Non è necessario impostare la modalità di accesso all'endpoint STRICT per determinate architetture applicative, ma impostare invece la modalità di accesso all'endpoint su. BASIC La tabella seguente mostra alcune architetture applicative e una raccomandazione per consentire all'API REST o al nome di dominio personalizzato di utilizzare la modalità di accesso agli endpoint. STRICT

Architecture	Migrazione consigliata
Utilizzo di un endpoint VPC per accedere a un nome di dominio pubblico personalizzato.	Questa architettura utilizza traffico di tipo cross-endpoint. Ti consigliamo di effettuare la migrazione a. Nomi di dominio personalizzati per uso privato APIs in API Gateway
Utilizzo di qualsiasi metodo per richiamare un'API privata che non utilizzi un nome di dominio personalizzato o nomi DNS privati.	Questa architettura crea una mancata corrispondenza tra l'intestazione dell'host e l'SNI utilizzato nell'handshake TLS e non supera le restrizioni di fronting del dominio. CloudFront Ti consigliamo di migrare il tuo VPC per utilizzare un DNS privato.
Utilizzo dello sharding del dominio per distribuire contenuti su più domini o sottodomini.	Questa architettura crea una discrepanza tra l'intestazione dell'host e l'SNI utilizzato nell'handshake TLS e non supera le restrizioni di fronting del dominio. CloudFront Ti consigliamo di utilizzare HTTP/2 e migrare da questo anti-pattern.

Di seguito sono riportate alcune considerazioni sull'utilizzo della modalità di accesso agli endpoint:

• Se la modalità di accesso all'endpoint di un'API o di un nome di dominio èSTRICT, non puoi modificare il tipo di endpoint. Per modificare il tipo di endpoint, modifica innanzitutto la modalità di accesso all'endpoint in. BASIC

• Dopo aver modificato la modalità di accesso agli endpoint da BASIC aSTRICT, API Gateway impiega un ritardo di 15 minuti per applicare la modalità di accesso agli endpoint rigorosa.

• Quando si modifica una policy di sicurezza da una policy iniziale SecurityPolicy_ a una policy legacy, è necessario disattivare la modalità di accesso agli endpoint su. ""

Considerazioni

Di seguito sono riportate le considerazioni relative alle politiche di sicurezza per REST APIs in API Gateway:

• È possibile importare la politica di sicurezza in un file di definizione OpenAPI. Per ulteriori informazioni, consulta x-amazon-apigateway-endpoint-modalità di accesso.

• La tua API può essere mappata su un nome di dominio personalizzato con una politica di sicurezza diversa dalla tua API. Quando richiami quel nome di dominio personalizzato, API Gateway utilizza la politica di sicurezza dell'API per negoziare l'handshake TLS. Se si disabilita l’endpoint API predefinito, si potrebbe influire sul modo in cui i chiamanti possono invocare l’API.

• Se si modifica la politica di sicurezza, il completamento dell'aggiornamento richiede circa 15 minuti. Puoi monitorare apiStatus la tua API. Man mano che la tua API si aggiorna, lo apiStatus è UPDATING e quando sarà completata, lo saràAVAILABLE. Una volta raggiunto lo stato dell'APIUPDATING, puoi comunque richiamarla.

• API Gateway supporta le politiche di sicurezza su tutti APIs. Tuttavia, puoi scegliere solo una politica di sicurezza per REST APIs. API Gateway supporta solo la politica TLS_1_2 di sicurezza per HTTP o WebSocket APIs.

• Non è possibile aggiornare la politica di sicurezza per un'API da TLS_1_0 aTLS_1_2.

• Alcune politiche di sicurezza supportano sia le suite di crittografia ECDSA che RSA. Se si utilizza questo tipo di policy con un nome di dominio personalizzato, le suite di crittografia corrispondono al tipo di chiave di certificato fornito dal cliente, RSA o ECDSA. Se utilizzi questo tipo di policy con un'API REST, le suite di crittografia corrispondono alle suite di crittografia compatibili con i tipi di certificati RSA.