API Gateway は、すべての HTTP API エンドポイントに TLS_1_2 のセキュリティポリシーを適用します。
セキュリティポリシーとは、Amazon API Gateway が提供する TLS の最小バージョンと暗号スイートの事前定義された組み合わせです。TLS プロトコルは、クライアントとサーバーの間の改ざんや傍受などのネットワークセキュリティの問題に対処します。クライアントがカスタムドメインを介して API に TLS ハンドシェイクを確立すると、セキュリティポリシーにより、TLS バージョンと暗号スイートのオプションが適用されます。ここで使用するオプションは、クライアントが選択できます。このセキュリティポリシーは、TLS 1.2 および TLS 1.3 トラフィックを受け入れ、TLS 1.0 トラフィックを拒否します。
HTTP API でサポートされている TLS プロトコルと暗号
次の表は、HTTP API でサポートされている TLS プロトコルを示しています。
TLS プロトコル |
TLS_1_2 セキュリティポリシー |
|---|---|
TLSv1.3 |
|
TLSv1.2 |
次の表は、HTTP API の TLS 1_2 セキュリティポリシーで使用できる TLS 暗号について説明しています。
TLS 暗号 |
TLS_1_2 セキュリティポリシー |
|---|---|
TLS-AES-128-GCM-SHA256 |
|
TLS-AES-256-GCM-SHA384 |
|
TLS-CHACHA20-POLY1305-SHA256 |
|
ECDHE-ECDSA-AES128-GCM-SHA256 |
|
ECDHE-RSA-AES128-GCM-SHA256 |
|
ECDHE-ECDSA-AES128-SHA256 |
|
ECDHE-RSA-AES128-SHA256 |
|
ECDHE-ECDSA-AES256-GCM-SHA384 |
|
ECDHE-RSA-AES256-GCM-SHA384 |
|
ECDHE-ECDSA-AES256-SHA384 |
|
ECDHE-RSA-AES256-SHA384 |
|
AES128-GCM-SHA256 |
|
AES128-SHA256 |
|
AES256-GCM-SHA384 |
|
AES256-SHA256 |
OpenSSL および RFC の暗号名
OpenSSL と IETF RFC 5246 では、同じ暗号に異なる名前を使用します。暗号名のリストについては、「OpenSSL および RFC の暗号名」を参照してください。
REST API と WebSocket API に関する情報
REST API と WebSocket API の詳細については、「API Gateway で REST API カスタムドメインのセキュリティポリシーを選択する」と「API Gateway での WebSocket API のセキュリティポリシー」を参照してください。
