API Gateway での REST API へのアクセスの制御と管理 - Amazon API Gateway

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

API Gateway での REST API へのアクセスの制御と管理

API Gateway は API へのアクセスを制御し管理する複数のメカニズムをサポートしています。

認証と認可に次のメカニズムを使用することができます。

  • リソースポリシーを使用して、特定のソース IP アドレスまたは VPC エンドポイントから、API およびメソッドへのアクセスを許可、または拒否するリソースベースのポリシーを作成できます。詳細については、「API Gateway リソースポリシーを使用して API へのアクセスを制御する」を参照してください。

  • 標準AWS IAM ロールおよびポリシーは、API 全体または個々のメソッドに適用できる柔軟で堅牢なアクセスコントロールを提供します。IAM のロールとポリシーを使用して、API をだれが作成および管理できるか、だれが呼び出すことができるかをコントロールできます。詳細については、「IAM アクセス許可による API へのアクセスコントロール」を参照してください。

  • IAM タグは、アクセスをコントロールするために、IAM ポリシーと共に使用できます。詳細については、「タグを使用した API Gateway リソースへのアクセスのコントロール」を参照してください。

  • インターフェイス VPC エンドポイント用のエンドポイントポリシー では、IAM リソースポリシーをインターフェイス VPC エンドポイントにアタッチして、プライベート API のセキュリティを向上させることができます。詳細については、「API Gateway でプライベート API 用の VPC エンドポイントポリシーを使用する」を参照してください。

  • Lambda オーソライザーは、べアラートークン認証と共に、ヘッダー、パス、クエリ文字列、ステージ変数、コンテキスト変数のリクエストパラメータで記述される情報を使用して、REST API メソッドへのアクセスをコントロールする Lambda 関数です。Lambda オーソライザーは、だれが REST API を呼び出すことができるかをコントロールするために使用されます。詳細については、「API Gateway Lambda オーソライザーの使用」を参照してください。

  • Amazon Cognito ユーザープールでは、REST API に合わせてカスタマイズ可能な認証および承認ソリューションを作成できます。Amazon Cognito ユーザープールは、だれが REST API メソッドを呼び出すことができるかをコントロールするために使用されます。詳細については、「Amazon Cognito ユーザープール をオーソライザーとして使用して REST API へのアクセスを制御する」を参照してください。

アクセスコントロールに関連する他のタスクを実行するために、以下のメカニズムを使用できます。

  • Cross-Origin Resource Sharing (CORS) を使用して、クロスドメインのリソースリクエストへの REST API の応答を制御できます。詳細については、「REST API リソースの CORS を有効にする」を参照してください。

  • クライアント側 SSL 証明書を使用して、バックエンドシステムへの HTTP リクエストが API Gateway からのものであることを確認します。詳細については、「バックエンド認証用 SSL 証明書の生成と設定」を参照してください。

  • AWS WAF は、API Gateway API を一般的なウェブの脆弱性から保護するために使用できます。詳細については、「AWS WAF を使用して API を保護する」を参照してください。

次のメカニズムを使用して、承認済みクライアントに付与したアクセス許可を追跡して制限できます。