Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Usa le policy degli endpoint VPC per uso privato APIs in API Gateway
È possibile creare una policy di endpoint VPC per migliorare la sicurezza dell'API privata. Una policy di endpoint VPC è una policy delle risorse IAM che è possibile allegare all'endpoint VPC. Per ulteriori informazioni, consulta Controllo dell'accesso ai servizi con endpoint VPC.
È possibile creare una policy di endpoint VPC per eseguire le seguenti attività.
Consentire solo a determinate organizzazioni o risorse di accedere all'endpoint VPC e invocare l'API.
Utilizzare un'unica policy ed evitare le policy basate sulla sessione o sul ruolo per controllare il traffico verso l'API.
Rafforza il perimetro di sicurezza della tua applicazione durante la migrazione da locale a. AWS
Considerazioni sulla policy degli endpoint VPC
Di seguito sono riportate le considerazioni relative alla politica degli endpoint VPC:
-
L'identità dell'invoker viene valutata in base al valore dell'intestazione
Authorization. La policy degli endpoint VPC viene valutata prima, quindi API Gateway valuta la richiesta, in base al tipo di autorizzazione configurato nella richiesta del metodo. La tabella seguente mostra come viene valutata la policy degli endpoint VPC in base al contenuto del valore dell'intestazione.AuthorizationContenuto del valore dell'intestazione
AuthorizationCome viene valutata la policy degli endpoint VPC
Nessun contenuto L'invoker viene valutato come utente anonimo Firma SigV4 o SigV4A valida L'invoker viene valutato come identità IAM autenticata dalla firma Firma SigV4 o SigV4A non valida API Gateway nega l'accesso Informazioni di autorizzazione non SIGv4, ad esempio un token bearer L'invoker viene valutato come utente anonimo -
Se i controlli di autorizzazione utilizzano l'autorizzazione IAM, puoi controllare il perimetro di sicurezza utilizzando le proprietà della risorsa e le proprietà del principale.
-
Le policy di endpoint VPC possono essere utilizzate insieme alle policy di risorse API Gateway. La policy delle risorse Gateway API specifica quali principali possono accedere all'API. La policy dell'endpoint specifica chi può accedere al VPC e chi APIs può essere chiamato dall'endpoint VPC. L'API privata richiede una policy delle risorse, ma non è necessario creare una policy di endpoint VPC personalizzata.
Esempi di policy di endpoint VPC
È possibile creare le policy degli endpoint Amazon Virtual Private Cloud per Gateway Amazon API in cui specificare quanto segue.
-
Il principale che può eseguire azioni.
-
Le operazioni che possono essere eseguite.
-
Le risorse su cui è possibile eseguire le operazioni.
Ciò potrebbe dipendere dal contenuto dell'intestazione di autorizzazione. Per ulteriori informazioni, consulta Considerazioni sulla policy degli endpoint VPC. Per ulteriori esempi di politiche, consulta Esempi di politiche relative al perimetro dei dati sul sito Web
Per collegare la policy all'endpoint VPC, è necessario utilizzare la console VPC. Per ulteriori informazioni, consulta Controllo dell'accesso ai servizi con endpoint VPC.
Esempio 1: policy degli endpoint VPC che concede l'accesso a due APIs
La seguente policy di esempio concede l'accesso solo a due specifici APIs tramite l'endpoint VPC a cui è associata la policy.
{ "Statement": [ { "Principal": "*", "Action": [ "execute-api:Invoke" ], "Effect": "Allow", "Resource": [ "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/*", "arn:aws:execute-api:us-east-1:123412341234:aaaaa11111/*" ] } ] }
Esempio 2: policy di endpoint VPC che concede l'accesso a metodi GET
L'esempio di policy seguente concede agli utenti l'accesso ai metodi GET per un'API specifica tramite l'endpoint VPC a cui è collegata l'API.
{ "Statement": [ { "Principal": "*", "Action": [ "execute-api:Invoke" ], "Effect": "Allow", "Resource": [ "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/stageName/GET/*" ] } ] }
Esempio 3: policy di endpoint VPC che concede a un utente specifico l'accesso a un'API specifica
L'esempio di policy seguente concede a un utente specifico l'accesso a un'API specifica tramite l'endpoint VPC a cui è collegata la policy.
In questo caso, poiché la policy limita l'accesso a specifici principali IAM, è necessario impostare il valore di authorizationType del metodo su AWS_IAM o NONE.
{ "Statement": [ { "Principal": { "AWS": [ "arn:aws:iam::123412341234:user/MyUser" ] }, "Action": [ "execute-api:Invoke" ], "Effect": "Allow", "Resource": [ "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/*" ] } ] }
Esempio 4: policy di endpoint VPC che fornisce agli utenti l'accesso a uno specifico nome di dominio personalizzato e a tutte le API mappate al dominio
La seguente politica di esempio consente agli utenti di accedere a uno specifico nome di dominio personalizzato per uso privato APIs tramite l'endpoint VPC a cui è allegata la policy. Con questa politica, purché un utente abbia creato un'associazione di accesso al nome di dominio tra l'endpoint VPC e il nome di dominio personalizzato e gli sia concesso l'accesso per richiamare il nome di dominio personalizzato e qualsiasi API privata mappata al nome di dominio personalizzato, l'utente può richiamare qualsiasi APIs mappato su questo nome di dominio personalizzato. Per ulteriori informazioni, consulta Nomi di dominio personalizzati per uso privato APIs in API Gateway.
{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "execute-api:Invoke", "Resource": [ "*" ], "Condition": { "ArnEquals": { "execute-api:viaDomainArn": "arn:aws:execute-api:us-west-2:111122223333:/domainnames/private.test.com+f4g5h6", } } } ] }
Esempio 5: policy degli endpoint VPC che concede o nega l'accesso a risorse specifiche e di dominio APIs
La seguente politica di esempio concede agli utenti l'accesso a risorse specifiche e di dominio. APIs Con questa politica, purché un utente abbia creato un'associazione di accesso al nome di dominio tra l'endpoint VPC e il nome di dominio personalizzato e gli sia concesso l'accesso per richiamare il nome di dominio personalizzato e qualsiasi API privata mappata al nome di dominio personalizzato, l'utente può richiamare le risorse private e di dominio consentite. APIs Per ulteriori informazioni, consulta Nomi di dominio personalizzati per uso privato APIs in API Gateway.
{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "execute-api:Invoke", "Resource": [ "arn:aws:execute-api:us-west-2:111122223333:/domainnames/private.test.com+f4g5h6", "arn:aws:execute-api:us-west-2:111122223333:a1b2c3d4e5/*" ] }, { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": "execute-api:Invoke", "Resource": [ "arn:aws:execute-api:us-west-2:111122223333:a1b2c3d4e5/admin/*", "arn:aws:execute-api:us-west-2:111122223333:bcd123455/*" ] } ] }
Esempio 6: policy degli endpoint VPC che concede o nega l'accesso ai responsabili e alle risorse appartenenti a un'organizzazione
La seguente politica di esempio concede l'accesso ai presidi e alle risorse che appartengono a un'organizzazione.
