API Gateway에서 사용자 지정 도메인에 대한 최소 TLS 버전 선택 - Amazon API Gateway

API Gateway에서 사용자 지정 도메인에 대한 최소 TLS 버전 선택

보안을 강화하기 위해 API Gateway 콘솔, AWS CLI 또는 AWS SDK에서 보안 정책을 설정하여 Amazon API Gateway 사용자 지정 도메인에 적용할 최소 전송 계층 보안(TLS) 프로토콜 버전을 선택할 수 있습니다.

보안 정책은 Amazon API Gateway가 제공하는 최소 TLS 버전과 암호 제품군의 사전 정의된 조합입니다. TLS 버전 1.2 또는 TLS 버전 1.0 보안 정책 중 하나를 선택할 수 있습니다. TLS 프로토콜은 클라이언트와 서버 간의 변조 및 도청과 같은 네트워크 보안 문제를 해결합니다. 클라이언트가 사용자 지정의 도메인을 통해 API에 TLS 핸드셰이크를 설정하면 보안 정책은 클라이언트가 선택할 수 있는 TLS 버전 및 암호 제품군 옵션을 적용합니다.

사용자 지정 도메인 설정에서, 보안 정책은 다음 두 가지 설정을 결정합니다.

  • API Gateway가 API 클라이언트와 통신하는 데 사용하는 최소 TLS 버전

  • API Gateway가 API 클라이언트에 반환하는 콘텐츠를 암호화하는 데 사용하는 암호

API Gateway에서 사용자 지정 도메인에 대한 최소 TLS 프로토콜 버전을 지정하는 방법

사용자 지정 도메인을 생성할 때 사용자 지정 도메인에 대한 보안 정책을 지정합니다. 보안 정책에 대한 자세한 내용은 다음 단원의 표를 참조하십시오.

다음 단원에서는 API Gateway 콘솔 및 CLI에서 최소 TLS 버전을 지정하는 방법을 포함하여 사용자 지정 도메인 이름을 생성하는 방법에 대해 설명합니다.

도메인 이름 설정을 업데이트하여 보안 정책을 변경할 수 있습니다. 최소 TLS 버전을 변경하려면 securityPolicy 매개 변수에 새 TLS 버전 (TLS_1_0 또는 TLS_1_2)을 지정하여 다음 명령 중 하나를 사용하십시오. 업데이트가 완료될 때까지 최대 60분이 소요됩니다.

API Gateway에서 엣지 최적화 API 엔드포인트에 대해 지원되는 보안 정책, TLS 프로토콜 버전 및 암호

다음 표에는 API Gateway가 엣지 최적화 API에 대한 각 보안 정책에 사용할 수 있는 프로토콜과 암호가 나열되어 있습니다.

보안 정책
TLS-1-0 TLS-1-2
지원되는 SSL/TLS 프로토콜
TLSv1.2
TLSv1.1
TLSv1
SSLv3
Ciphers supported
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
AES256-SHA
AES128-SHA
DES-CBC3-SHA
RC4-MD5

API Gateway에서 리전, 프라이빗 및 WebSocket API 엔드포인트에 대해 지원되는 SSL/TLS 프로토콜 및 암호

다음 표에서는 리전, 프라이빗 및 WebSocket API 엔드포인트에 대해 지정할 수 있는 보안 정책에 대해 설명합니다.

참고

프라이빗 및 WebSocket API의 경우, TLS-1-2만 지정할 수 있습니다.

보안 정책 TLS-1-0 TLS-1-2
TLS 프로토콜

Protocol-TLSv1

Protocol-TLSv1.1

Protocol-TLSv1.2

TLS 암호

ECDHE-ECDSA-AES128-GCM-SHA256

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-ECDSA-AES128-SHA256

ECDHE-RSA-AES128-SHA256

ECDHE-ECDSA-AES128-SHA

ECDHE-RSA-AES128-SHA

ECDHE-ECDSA-AES256-GCM-SHA384

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES256-SHA384

ECDHE-RSA-AES256-SHA

ECDHE-ECDSA-AES256-SHA

AES128-GCM-SHA256

AES128-SHA256

AES128-SHA

AES256-GCM-SHA384

AES256-SHA256

AES256-SHA

DES-CBC3-SHA

OpenSSL 및 RFC 암호 이름

OpenSSL 및 IETF RFC 5246인 TLS(전송 계층 보안) 프로토콜 버전 1.2는 동일한 암호에 대해 서로 다른 이름을 사용합니다. 다음 표에는 각 암호의 RFC 이름에 OpenSSL 이름이 매핑되어 있습니다.

OpenSSL 암호화 이름 RFC 암호화 이름

ECDHE-RSA-AES128-GCM-SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

ECDHE-RSA-AES128-SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

ECDHE-RSA-AES128-SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

ECDHE-RSA-AES256-GCM-SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

ECDHE-RSA-AES256-SHA384

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

ECDHE-RSA-AES256-SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

AES128-GCM-SHA256

TLS_RSA_WITH_AES_128_GCM_SHA256

AES256-GCM-SHA384

TLS_RSA_WITH_AES_256_GCM_SHA384

AES128-SHA256

TLS_RSA_WITH_AES_128_CBC_SHA256

AES256-SHA

TLS_RSA_WITH_AES_256_CBC_SHA

AES128-SHA

TLS_RSA_WITH_AES_128_CBC_SHA

DES-CBC3-SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

RC4-MD5

TLS_RSA_WITH_RC4_128_MD5