Amazon API Gateway
開発者ガイド

Amazon API Gateway リソースポリシーを使用して API へのアクセスを制御する

Amazon API Gateway の リソースポリシーは、JSON ポリシードキュメントです。指定されたプリンシパル (通常、IAM ユーザーまたはロール) で API を呼び出せるかどうかにかかわらず、制御する API にアタッチします。API Gateway リソースポリシーを使用すると、API を以下から安全に呼び出すことができます。

  • 指定された AWS アカウントのユーザー

  • 指定されたソース IP アドレス範囲または CIDR ブロック

  • 指定された Virtual Private Cloud (VPC) または VPC エンドポイント (任意のアカウント)

API Gateway のすべての API エンドポイントタイプ (プライベート、エッジ最適化、リージョン) のリソースポリシーを使用できます。

プライベート API の場合は、リソースポリシーを VPC エンドポイントポリシーとともに使用して、どのプリンシパルがどのリソースやアクションにアクセスできるかを制御することができます。詳細については、「API Gateway のプライベート API 用に VPC エンドポイントポリシーを使用する」を参照してください。

リソースポリシーを API にアタッチするには、AWS コンソール、AWS CLI、または AWS SDK を使用します。

API Gateway リソースポリシーは IAM ポリシーとは異なります。IAM ポリシーは IAM エンティティ (ユーザー、グループ、またはロール) にアタッチされ、これらのエンティティで実行できるアクションとリソースを定義します。API Gateway リソースポリシーはリソースにアタッチされます。アイデンティティベース (IAM) のポリシーおよびリソースポリシーの間の詳細な相違点については、「アイデンティティベースのポリシーとリソースベースのポリシー」を参照してください。

API Gateway リソースポリシーは、IAM ポリシーと組み合わせて使用できます。