Escolher uma política de segurança para seu domínio personalizado no API Gateway
Para ter maior segurança do domínio personalizado do Amazon API Gateway, é possível escolher uma política de segurança no console do API Gateway, a AWS CLI ou um AWS SDK.
Uma política de segurança é uma combinação predefinida da versão mínima do TLS e dos pacotes de criptografia oferecida pelo Amazon API Gateway. É possível escolher uma política de segurança do TLS versão 1.2 ou do TLS versão 1.0. O protocolo TLS trata problemas de segurança de rede, como violação e interceptação entre um cliente e o servidor. Quando seus clientes estabelecem um handshake do TLS para a API por meio do domínio personalizado, a política de segurança aplica as opções do pacote de criptografia e da versão do TLS que seus clientes podem optar por usar.
Nas configurações do domínio personalizado, uma política de segurança determina duas configurações:
-
A versão mínima do TLS que o API Gateway usa para se comunicar com clientes da API
-
A criptografia que o API Gateway usa para criptografar o conteúdo que ele retorna aos clientes da API
Se escolher uma política de segurança TLS 1.0, a política de segurança aceitará tráfego TLS 1.0, TLS 1.2 e TLS 1.3. Se você escolher uma política de segurança TLS 1.2, a política de segurança aceitará tráfego TLS 1.2 e TLS 1.3 e rejeitará tráfego TLS 1.0.
nota
Você só pode especificar uma política de segurança para um domínio personalizado. Para uma API que usa um endpoint padrão, o API Gateway usa a seguinte política de segurança:
Para APIs otimizadas para bordas:
TLS-1-0Para APIs regionais:
TLS-1-0Para APIs privadas:
TLS-1-2
Tópicos
- Como especificar uma política de segurança para domínios personalizados
- Políticas de segurança, versões do protocolo TLS e criptografias compatíveis com domínios personalizados otimizados para borda
- Políticas de segurança, versões do protocolo TLS e criptografias compatíveis com domínios de região personalizados
- Versões e cifras do protocolo TLS com suporte para APIs privadas
- Nomes das criptografias OpenSSL e RFC
- Informações sobre APIs HTTP e APIs de WebSocket
Como especificar uma política de segurança para domínios personalizados
Ao criar um nome de domínio personalizado, especifique a política de segurança para ele. Para saber como criar um domínio personalizado, consulte Criar um nome de domínio personalizado otimizado para bordas ou Configurar um nome de domínio regional personalizado no API Gateway.
Para alterar a política de segurança do seu nome de domínio personalizado, atualize as configurações do domínio personalizado. Você pode atualizar as configurações de nome do domínio personalizado usando o AWS Management Console, a AWS CLI ou um AWS SDK.
Ao usar a API REST do API Gateway ou AWS CLI, especifique a nova versão do TLS, TLS_1_0 ou TLS_1_2, no parâmetro securityPolicy. Para saber mais, consulte domainname:update na Referência da API REST do Amazon API Gateway ou update-domain-name na Referência daAWS CLI.
A operação de atualização pode levar alguns minutos para ser concluída.
Políticas de segurança, versões do protocolo TLS e criptografias compatíveis com domínios personalizados otimizados para borda
A tabela a seguir descreve as políticas de segurança que podem ser especificadas para nomes de domínio personalizados otimizados para bordas.
| Política de segurança | TLS_1_0 | TLS_1_2 |
|---|---|---|
| Protocolos TLS | ||
| TLSv1.3 | ♦ | ♦ |
| TLSv1.2 | ♦ | ♦ |
| TLSv1.1 | ♦ | |
| TLSv1 | ♦ | |
| Cifras TLS | ||
| TLS_AES_128_GCM_SHA256 | ♦ | ♦ |
| TLS_AES_256_GCM_SHA384 | ♦ | ♦ |
| TLS_CHACHA20_POLY1305_SHA256 | ♦ | ♦ |
| ECDHE-ECDSA-AES128-GCM-SHA256 | ♦ | ♦ |
| ECDHE-ECDSA-AES128-SHA256 | ♦ | ♦ |
| ECDHE-ECDSA-AES128-SHA | ♦ | |
| ECDHE-ECDSA-AES256-GCM-SHA384 | ♦ | ♦ |
| ECDHE-ECDSA-CHACHA20-POLY1305 | ♦ | ♦ |
| ECDHE-ECDSA-AES256-SHA384 | ♦ | ♦ |
| ECDHE-ECDSA-AES256-SHA | ♦ | |
| ECDHE-RSA-AES128-GCM-SHA256 | ♦ | ♦ |
| ECDHE-RSA-AES128-SHA256 | ♦ | ♦ |
| ECDHE-RSA-AES128-SHA | ♦ | |
| ECDHE-RSA-AES256-GCM-SHA384 | ♦ | ♦ |
| ECDHE-RSA-CHACHA20-POLY1305 | ♦ | ♦ |
| ECDHE-RSA-AES256-SHA384 | ♦ | ♦ |
| ECDHE-RSA-AES256-SHA | ♦ | |
| AES128-GCM-SHA256 | ♦ | |
| AES256-GCM-SHA384 | ♦ | ♦ |
| AES128-SHA256 | ♦ | ♦ |
| AES256-SHA | ♦ | |
| AES128-SHA | ♦ | |
| DES-CBC3-SHA | ♦ | |
Políticas de segurança, versões do protocolo TLS e criptografias compatíveis com domínios de região personalizados
A tabela a seguir descreve as políticas de segurança que podem ser especificadas para nomes de domínio de região personalizados.
| Política de segurança | TLS_1_0 | TLS_1_2 |
|---|---|---|
| Protocolos TLS | ||
TLSv1.3 |
♦ | ♦ |
TLSv1.2 |
♦ | ♦ |
TLSv1.1 |
♦ | |
TLSv1 |
♦ | |
| Cifras TLS | ||
TLS_AES_128_GCM_SHA256 |
♦ | ♦ |
TLS_AES_256_GCM_SHA384 |
♦ | ♦ |
TLS_CHACHA20_POLY1305_SHA256 |
♦ | ♦ |
ECDHE-ECDSA-AES128-GCM-SHA256 |
♦ | ♦ |
ECDHE-RSA-AES128-GCM-SHA256 |
♦ | ♦ |
ECDHE-ECDSA-AES128-SHA256 |
♦ | ♦ |
ECDHE-RSA-AES128-SHA256 |
♦ | ♦ |
ECDHE-ECDSA-AES128-SHA |
♦ | |
ECDHE-RSA-AES128-SHA |
♦ | |
ECDHE-ECDSA-AES256-GCM-SHA384 |
♦ | ♦ |
ECDHE-RSA-AES256-GCM-SHA384 |
♦ | ♦ |
ECDHE-ECDSA-AES256-SHA384 |
♦ | ♦ |
ECDHE-RSA-AES256-SHA384 |
♦ | ♦ |
ECDHE-RSA-AES256-SHA |
♦ | |
ECDHE-ECDSA-AES256-SHA |
♦ | |
AES128-GCM-SHA256 |
♦ | ♦ |
AES128-SHA256 |
♦ | ♦ |
AES128-SHA |
♦ | |
AES256-GCM-SHA384 |
♦ | ♦ |
AES256-SHA256 |
♦ | ♦ |
AES256-SHA |
♦ | |
Versões e cifras do protocolo TLS com suporte para APIs privadas
A tabela a seguir descreve o protocolo TLS e as cifras compatíveis com APIs privadas. Não há suporte para especificar uma política de segurança para APIs privadas.
| Política de segurança | TLS_1_2 |
|---|---|
| Protocolos TLS | |
TLSv1.2 |
♦ |
| Cifras TLS | |
ECDHE-ECDSA-AES128-GCM-SHA256 |
♦ |
ECDHE-RSA-AES128-GCM-SHA256 |
♦ |
ECDHE-ECDSA-AES128-SHA256 |
♦ |
ECDHE-RSA-AES128-SHA256 |
♦ |
| ECDHE-ECDSA-AES256-GCM-SHA384 | ♦ |
| ECDHE-RSA-AES256-GCM-SHA384 | ♦ |
| ECDHE-ECDSA-AES256-SHA384 | ♦ |
| ECDHE-RSA-AES256-SHA384 | ♦ |
| AES128-GCM-SHA256 | ♦ |
| AES128-SHA256 | ♦ |
| AES256-GCM-SHA384 | ♦ |
| AES256-SHA256 | ♦ |
Nomes das criptografias OpenSSL e RFC
OpenSSL e IETF RFC 5246 usam nomes diferentes para as mesmas cifras. A tabela a seguir mapeia o nome do OpenSSL para o nome do RFC para cada criptograma.
| Nome da criptografia OpenSSL | Nome da criptografia RFC |
|---|---|
TLS_AES_128_GCM_SHA256 |
TLS_AES_128_GCM_SHA256 |
TLS_AES_256_GCM_SHA384 |
TLS_AES_256_GCM_SHA384 |
TLS_CHACHA20_POLY1305_SHA256 |
TLS_CHACHA20_POLY1305_SHA256 |
ECDHE-RSA-AES128-GCM-SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
ECDHE-RSA-AES128-SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
ECDHE-RSA-AES128-SHA |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
ECDHE-RSA-AES256-GCM-SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
ECDHE-RSA-AES256-SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
ECDHE-RSA-AES256-SHA |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
AES128-GCM-SHA256 |
TLS_RSA_WITH_AES_128_GCM_SHA256 |
AES256-GCM-SHA384 |
TLS_RSA_WITH_AES_256_GCM_SHA384 |
AES128-SHA256 |
TLS_RSA_WITH_AES_128_CBC_SHA256 |
AES256-SHA |
TLS_RSA_WITH_AES_256_CBC_SHA |
AES128-SHA |
TLS_RSA_WITH_AES_128_CBC_SHA |
DES-CBC3-SHA |
TLS_RSA_WITH_3DES_EDE_CBC_SHA |
Informações sobre APIs HTTP e APIs de WebSocket
Para saber mais sobre APIs HTTP e APIs de WebSocket, consulte Política de segurança para APIs HTTP e Política de segurança para APIs de WebSocket.
