Amazon API Gateway
開発者ガイド

API Gateway での REST API へのアクセスの制御と管理

API Gateway は API へのアクセスを制御し管理する複数のメカニズムをサポートしています。

認証と承認に以下のメカニズムを使用できます。

  • リソースポリシー では、指定したソース IP アドレスまたは VPC エンドポイントからの API およびメソッドの呼び出しアクセスを許可または拒否する、リソースベースのポリシーを作成できます。詳細については、「Amazon API Gateway リソースポリシーを使用して API へのアクセスを制御する」を参照してください。

  • スタンダード AWS IAM ロールおよびポリシーは、API 全体または個々のメソッドに適用できる柔軟で堅牢なアクセスコントロールを提供します。IAM のロールとポリシーを使用して、API をだれが作成および管理できるか、だれが呼び出すことができるかをコントロールできます。詳細については、「IAM アクセス権限により API へのアクセスを制御する」を参照してください。

  • IAM タグは、アクセスをコントロールするために、IAM ポリシーと共に使用できます。詳細については、「タグを使用して API Gateway リソースへのアクセスをコントロールする」を参照してください。

  • Lambda オーソライザーは、べアラートークン認証と共に、ヘッダー、パス、クエリ文字列、ステージ変数、コンテキスト変数のリクエストパラメータで記述される情報を使用して、REST API メソッドへのアクセスをコントロールする、Lambda 関数です。Lambda オーソライザーは、だれが REST API を呼び出すことができるかをコントロールするために使用されます。詳細については、「API Gateway Lambda オーソライザーの使用」を参照してください。

  • Amazon Cognito ユーザープールでは、REST API に合わせてカスタマイズ可能な認証および承認ソリューションを作成できます。Amazon Cognito ユーザープールは、だれが REST API メソッドを呼び出すことができるかをコントロールするために使用されます。詳細については、「Amazon Cognito ユーザープール をオーソライザーとして使用して REST API へのアクセスを制御する」を参照してください。

アクセスコントロールに関連する他のタスクを実行するために、以下のメカニズムを使用できます。

次のメカニズムを使用すると、承認済みクライアントに付与したアクセス許可を追跡して制限できます。