API Gateway での WebSocket API のセキュリティポリシー
API Gateway は、すべての WebSocket API エンドポイントに対して TLS_1_2 のセキュリティポリシーを適用します。
セキュリティポリシーとは、Amazon API Gateway が提供する TLS の最小バージョンと暗号スイートの事前定義された組み合わせです。TLS プロトコルは、クライアントとサーバーの間の改ざんや傍受などのネットワークセキュリティの問題に対処します。クライアントがカスタムドメインを介して API に TLS ハンドシェイクを確立すると、セキュリティポリシーにより、TLS バージョンと暗号スイートのオプションが適用されます。ここで使用するオプションは、クライアントが選択できます。このセキュリティポリシーは、TLS 1.2 および TLS 1.3 トラフィックを受け入れ、TLS 1.0 トラフィックを拒否します。
WebSocket API でサポートされている TLS プロトコルと暗号
次の表では、WebSocket API でサポートされている TLS プロトコルについて説明します。
TLS プロトコル |
TLS_1_2 セキュリティポリシー |
|---|---|
TLSv1.3 |
|
TLSv1.2 |
次の表は、WebSocket API の TLS 1_2 セキュリティポリシーで使用できる TLS 暗号について説明しています。
TLS 暗号 |
TLS_1_2 セキュリティポリシー |
|---|---|
TLS_AES_128_GCM_SHA256 |
|
TLS_AES_256_GCM_SHA384 |
|
TLS_CHACHA20_POLY1305_SHA256 |
|
ECDHE-ECDSA-AES128-GCM-SHA256 |
|
ECDHE-RSA-AES128-GCM-SHA256 |
|
ECDHE-ECDSA-AES128-SHA256 |
|
ECDHE-RSA-AES128-SHA256 |
|
ECDHE-ECDSA-AES256-GCM-SHA384 |
|
ECDHE-RSA-AES256-GCM-SHA384 |
|
ECDHE-ECDSA-AES256-SHA384 |
|
ECDHE-RSA-AES256-SHA384 |
|
AES128-GCM-SHA256 |
|
AES128-SHA256 |
|
AES256-GCM-SHA384 |
|
AES256-SHA256 |
OpenSSL および RFC の暗号名
OpenSSL と IETF RFC 5246 では、同じ暗号に異なる名前を使用します。暗号名のリストについては、「OpenSSL および RFC の暗号名」を参照してください。
REST API と HTTP API に関する情報
REST API と HTTP API の詳細については、「API Gateway で REST API カスタムドメインのセキュリティポリシーを選択する」と「API Gateway での HTTP API のセキュリティポリシー」を参照してください。
