API Gateway의 REST API에 대한 액세스 제어 및 관리

API Gateway는 API 액세스 제어 및 관리에 다중 메커니즘을 지원합니다.

다음 메커니즘은 인증 및 권한 부여에 사용할 수 있습니다.

• 리소스 정책으로 리소스 기반 정책을 만들어 특정 소스의 IP 주소 또는 VPC 종단점의 API 및 메서드 액세스 권한을 부여하거나 거부할 수 있습니다. 자세한 내용은 API Gateway 리소스 정책을 사용하여 API에 대한 액세스 제어 섹션을 참조하세요.

• 표준 AWS IAM 역할 및 정책은 전체 API 또는 개별 메서드에 적용할 수 있는 유연하고 강력한 액세스 제어를 제공합니다. IAM 역할 및 정책을 사용하여 API를 생성하고 관리할 수 있는 사용자와 API를 호출할 수 있는 사용자를 관리할 수 있습니다. 자세한 내용은 IAM 권한을 사용하여 API에 대한 액세스 제어 섹션을 참조하세요.

• IAM 태그는 액세스 제어를 위해 IAM 정책과 함께 사용할 수 있습니다. 자세한 내용은 태그를 사용하여 API Gateway REST API 리소스에 대한 액세스 제어 섹션을 참조하세요.

• 인터페이스 VPC 종단점에 대한 엔드포인트 정책을 통해 프라이빗 API의 보안을 향상시키기 위해 인터페이스 VPC 종단점에 IAM 리소스 정책을 연결할 수 있습니다. 자세한 내용은 API Gateway의 프라이빗 API에 대한 VPC 종단점 정책 사용 섹션을 참조하세요.

• Lambda 권한 부여자는 보유자 토큰 인증과 헤더, 경로, 쿼리 문자열, 단계 변수, 맥락 변수 요청 파라미터에 서술된 정보를 이용하여 REST API 메서드에 대한 액세스를 제어하는 Lambda 함수입니다. Lambda 권한 부여자는 REST API 메서드를 호출할 수 있는 사람을 제어하는 데 사용됩니다. 자세한 내용은 API Gateway Lambda 권한 부여자 사용 섹션을 참조하세요.

• Amazon Cognito 사용자 풀로 REST API에 대해 사용자 지정이 가능한 인증 및 권한 부여 솔루션을 만들 수 있습니다. Amazon Cognito 사용자 풀은 REST API 메서드를 호출할 수 있는 사람을 제어하는 데 사용됩니다. 자세한 내용은 Amazon Cognito 사용자 풀을 권한 부여자로 사용하여 REST API에 대한 액세스 제어 섹션을 참조하세요.

다음 메커니즘은 액세스 제어와 관련된 다른 작업을 수행할 때 사용할 수 있습니다.

• CORS(Cross-origin 리소스 공유)로 REST API가 교차 도메인 리소스 요청에 응답하는 방식을 제어할 수 있습니다. 자세한 내용은 REST API 리소스에 대한 CORS 활성화 섹션을 참조하세요.

• 클라이언트 측 SSL 인증서를 사용하여 백엔드 시스템에 대한 HTTP 요청이 API Gateway에서 시작된 것인지 확인할 수 있습니다. 자세한 내용은 백엔드 인증을 위한 SSL 인증서 생성 및 구성 섹션을 참조하세요.

• AWS WAF는 일반적인 웹 익스플로잇으로부터 API Gateway API를 보호하기 위해 사용할 수 있습니다. 자세한 내용은 AWS WAF을 사용하여 API 보호 섹션을 참조하세요.

다음 메커니즘은 권한이 있는 클라이언트에게 부여한 액세스 권한을 추적하고 제한하는 데 사용할 수 있습니다.

• 사용량 계획을 통해 고객에게 API 키를 제공할 수 있으며 그 후에 각 API 키에 대하여 API 단계와 메서드를 추적하고 사용량을 제한할 수 있습니다. 자세한 내용은 API 키를 사용하여 사용량 계획 생성 및 사용 섹션을 참조하세요.