Amazon API Gateway의 보안 모범 사례

API Gateway는 자체 보안 정책을 개발하고 구현할 때 고려해야 할 여러 보안 기능을 제공합니다. 다음 모범 사례는 일반적인 지침이며 완벽한 보안 솔루션을 나타내지는 않습니다. 이러한 모범 사례는 환경에 적절하지 않거나 충분하지 않을 수 있으므로 참고용으로만 사용해 주세요.

최소 권한 액세스 구현

IAM 정책을 사용하여 API Gateway API 생성, 읽기, 업데이트 또는 삭제에 대한 최소 권한 액세스를 구현합니다. 자세한 내용은 Amazon API Gateway의 Identity and Access Management 단원을 참조하세요. API Gateway에서는 생성한 API에 대한 액세스를 제어하는 몇 가지 옵션을 제공합니다. 자세한 내용은 API Gateway에서 REST API에 대한 액세스 제어 및 관리, API Gateway에서 WebSocket API에 대한 액세스 제어 및 관리 및 JWT 권한 부여자를 사용하여 HTTP API에 대한 액세스 제어 단원을 참조하세요.

로깅 구현

CloudWatch Logs 또는 Amazon Data Firehose를 사용하여 API에 요청을 기록합니다. 자세한 내용은 API Gateway에서 REST API 모니터링, API Gateway에서 WebSocket API 로깅 구성 및 API Gateway에서 HTTP API 로깅 구성 단원을 참조하세요.

Amazon CloudWatch 경보 구현

CloudWatch 경보를 사용하면 지정한 기간 동안 단일 지표를 감시할 수 있습니다. 지표가 지정된 임계값을 초과하면 Amazon Simple Notification Service 주제 또는 AWS Auto Scaling 정책으로 알림이 전송됩니다. CloudWatch 경보는 지표가 특정 상태에 있다고 해서 작업을 호출하지 않습니다. 대신, 상태가 변경되어 지정된 기간 동안 유지되어야 합니다. 자세한 내용은 Amazon CloudWatch 지표를 사용한 REST API 실행 모니터링 단원을 참조하세요.

AWS CloudTrail 활성화

CloudTrail은 API Gateway에서 사용자, 역할 또는 AWS 서비스가 수행한 작업의 기록을 제공합니다. CloudTrail에서 수집한 정보를 사용하여 API Gateway에 수행된 요청, 요청이 수행된 IP 주소, 요청을 수행한 사람, 요청이 수행된 시간 및 추가 세부 정보를 확인할 수 있습니다. 자세한 내용은 AWS CloudTrail을 사용하여 Amazon API Gateway API에 대한 직접 호출 로깅 단원을 참조하세요.

AWS Config 활성화

AWS Config는 AWS 계정에 있는 리소스의 구성을 자세히 보여 줍니다. 리소스 간에 어떤 관계가 있는지 파악하고, 구성 변경 이력을 확인하고, 시간이 지나면서 구성과 관계가 어떻게 변하는지 확인할 수 있습니다. AWS Config를 사용해 리소스 구성이 데이터 규칙을 준수하는지 평가하는 규칙을 정의할 수 있습니다. AWS Config 규칙은 API Gateway 리소스에 대한 이상적인 구성 설정을 나타냅니다. 리소스가 규칙을 위반하고 규정 위반으로 플래그가 지정된 경우 AWS Config에서는 Amazon SNS(단순 알림 서비스) 주제를 사용하여 알림을 제공할 수 있습니다. 세부 정보는 로 API Gateway API 구성 모니터링AWS Config을 참조하세요.

AWS Security Hub 사용

AWS Security Hub을 사용하여 보안 모범 사례와 관련된 API Gateway의 사용량을 모니터링하세요. Security Hub는 보안 제어를 사용하여 리소스 구성 및 보안 표준을 평가하여 다양한 규정 준수 프레임워크를 준수할 수 있도록 지원합니다. Security Hub를 사용하여 Lambda 리소스를 평가하는 방법에 대한 자세한 내용은 AWS Security Hub 사용자 설명서의 Amazon API Gateway 제어를 참조하세요.