Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Nomes de domínio personalizados para APIs privadas no API Gateway

RSS
Modo de foco
Nomes de domínio personalizados para APIs privadas no API Gateway - Amazon API Gateway
Proteger a chave privada do certificado para o nome de domínio personalizadoConsiderações referentes a nomes de domínio personalizados privadosConsiderações sobre o uso de nomes de domínio personalizados privados com outros recursos do API GatewayDiferenças entre nomes de domínio personalizados privados e nomes de domínio personalizados públicosPróximas etapas referentes a nomes de domínio personalizados para APIs privadas

Também é possível criar um nome domínio personalizado para APIs privadas. Use um nome de domínio personalizado privado para fornecer aos chamadores de API um URL mais simples e intuitivo. Com um nome de domínio personalizado privado, você pode reduzir a complexidade, configurar medidas de segurança durante o handshake do TLS e controlar o ciclo de vida do certificado do seu nome de domínio usando o AWS Certificate Manager (ACM). Para ter mais informações, consulte Proteger a chave privada do certificado para o nome de domínio personalizado.

Os nomes de domínio personalizados para APIs privadas não precisam ser exclusivos em várias contas. Você pode criar example.private.com na conta 111.122.223.333 e na conta 555.555.555.555, desde que seu certificado do ACM abranja o nome de domínio. Para identificar um nome de domínio personalizado privado, use o respectivo ARN. Esse identificador é exclusivo para nomes de domínio personalizados privados.

Quando você cria um nome de domínio personalizado privado no API Gateway, você é um provedor de API. Você pode fornecer seu nome de domínio personalizado privado a outras Contas da AWS usando o API Gateway ou o AWS Resource Access Manager (AWS RAM).

Quando você invoca um nome de domínio personalizado privado, você é um consumidor de API. Você pode consumir um nome de domínio personalizado privado da sua Conta da AWS ou de outra Conta da AWS.

Ao consumir um nome de domínio personalizado privado, você cria uma associação de acesso ao nome de domínio entre um endpoint da VPC e um nome de domínio personalizado privado. Com uma associação de acesso ao nome de domínio, os consumidores de API podem invocar seu nome de domínio personalizado privado enquanto estão isolados da internet pública. Para ter mais informações, consulte Tarefas dos provedores e consumidores de API referentes a nomes de domínio personalizados para APIs privadas.

Proteger a chave privada do certificado para o nome de domínio personalizado

Quando você solicita um certificado SSL/TLS usando o ACM para criar um nome de domínio personalizado para APIs privadas, o ACM gera um par de chaves públicas/privadas. Ao importar um certificado, você gera o par de chaves. A chave pública se torna parte do certificado. Para armazenar com segurança a chave privada, o ACM cria outra chave usando o AWS KMS, chamada de chave do KMS, com o alias aws/acm. O AWS KMS usa essa chave para criptografar a chave privada do seu certificado. Para obter mais informações, consulte Proteção de dados no AWS Certificate Manager, no Guia do usuário do AWS Certificate Manager.

O API Gateway usa o AWS TLS Connection Manager, um serviço que só pode ser acessado por Serviços da AWS, para proteger e usar as chaves privadas do seu certificado. Quando você usa seu certificado do ACM para criar um nome de domínio personalizado do API Gateway, o API Gateway associa seu certificado ao AWS TLS Connection Manager. Fazemos isso criando uma concessão no AWS KMS relação à sua chave gerenciada pela AWS. Essa concessão permite que o TLS Connection Manager use o AWS KMS para descriptografar a chave privada do seu certificado. O TLS Connection Manager usa o certificado e a chave privada descriptografada (texto simples) para estabelecer uma conexão segura (sessão SSL/TLS) com clientes de serviços do API Gateway. Quando o certificado for desassociado de um serviço do API Gateway, a concessão será removida. Para obter mais informações, consulte Concessões no Guia do desenvolvedor do AWS Key Management Service.

Para ter mais informações, consulte Criptografia de dados em repouso no Amazon API Gateway.

Considerações referentes a nomes de domínio personalizados privados

As considerações a seguir podem afetar o uso de um nome de domínio personalizado.

  • O API Gateway leva em torno de 15 minutos para provisionar seu nome de domínio personalizado privado.

  • Se você atualizar seu certificado do ACM, o API Gateway levará cerca de 15 minutos para concluir a atualização. Durante esse período, seu nome de domínio fica no estado UPDATING, mas você ainda pode acessá-lo.

  • Para invocar um nome de domínio personalizado privado, você deve criar uma associação de acesso ao nome de domínio. Depois que uma associação de acesso ao nome de domínio é criada, ela leva cerca de 15 minutos para ficar pronta.

  • Não é possível invocar nomes de domínio personalizados privados usando o mesmo nome de um mesmo endpoint da VPC. Por exemplo, se você quiser invocar arn:aws:apigateway:us-west-2:111122223333:/domainnames/private.example.com+abcd1234 e arn:aws:apigateway:us-west-2:111122223333:/domainnames/private.example.com+xyz000, associe cada nome de domínio personalizado privado a um endpoint da VPC diferente.

  • Certificados curinga são permitidos, como um certificado para *.private.example.com.

  • Nomes de domínio personalizados curinga não são permitidos.

  • Somente certificados RSA com um tamanho de chave de 2.048 bits e certificados ECDSA com um tamanho de chave de 256 e 384 bits são permitidos.

  • Você pode enviar tráfego usando todos os tipos de endereço IP compatíveis com a Amazon VPC. Você pode enviar tráfego de pilha dupla e IPv6 configurando as definições no endpoint da VPC. Não é possível modificar isso usando o API Gateway. Para obter mais informações, consulte Adicionar suporte a IPv6 para sua VPC.

  • O mapeamento de caminho base de vários níveis, como associar a API privada a /developers/feature, não é permitido.

  • Não é possível definir uma versão mínima do TLS para o nome de domínio personalizado privado. Todos os nomes de domínio personalizados privados têm a política de segurança TLS-1-2.

  • Você pode usar a política de endpoint da VPC para controlar o acesso a um nome de domínio personalizado privado. Para ter mais informações, consulte 4 e 5 em Usar políticas de VPC endpoint para APIs privadas no API Gateway.

  • Você deve criar uma política de recursos separada para a API privada e o nome de domínio personalizado privado. Para invocar um nome de domínio personalizado privado, um consumidor de API precisa de acesso à política de recursos do nome de domínio personalizado privado, à política de recursos da API privada e a quaisquer políticas de endpoint da VPC ou autorizações na API privada.

Considerações sobre o uso de nomes de domínio personalizados privados com outros recursos do API Gateway

As considerações a seguir podem afetar a forma como você usa nomes de domínio personalizados privados com outros recursos do API Gateway.

  • Não é possível associar uma API pública a um nome de domínio personalizado privado nem associar uma API privada a um nome de domínio personalizado público.

  • Quando uma API privada é associada a um nome de domínio personalizado privado, não é possível alterar o tipo de endpoint da API.

  • Não é possível migrar um nome de domínio personalizado público para um nome de domínio personalizado privado.

  • Se você usa um endpoint da VPC para acessar um nome de domínio personalizado público, não o use para criar uma associação de acesso ao nome de domínio com um nome de domínio personalizado privado.

Diferenças entre nomes de domínio personalizados privados e nomes de domínio personalizados públicos

A seguir é apresentada uma descrição das diferenças entre nomes de domínio personalizados privados e públicos.

  • Os nomes de domínio personalizados privados não precisam ser exclusivos em várias contas.

  • Um nome de domínio privado tem um ARN e um ID de nome de domínio. Esses identificadores distinguem exclusivamente um nome de domínio personalizado privado e não são gerados para nomes de domínio personalizados públicos.

  • Ao usar a AWS CLI para atualizar ou excluir um nome de domínio personalizado privado, você deve fornecer o respectivo ID. Se você tiver um nome de domínio personalizado privado chamado example.com e um nome de domínio personalizado público chamado example.com e não fornecer o respectivo ID, o API Gateway modificará ou excluirá seu nome de domínio personalizado público.

Próximas etapas referentes a nomes de domínio personalizados para APIs privadas

Para ter informações sobre as tarefas de um provedor de API e de um consumidor de API, consulte Tarefas dos provedores e consumidores de API referentes a nomes de domínio personalizados para APIs privadas.

Para obter instruções sobre como criar um nome de domínio personalizado privado que você pode invocar em sua Conta da AWS, consulte Tutorial: como criar e invocar um nome de domínio personalizado para APIs privadas.

Para obter instruções sobre como fornecer a outra Conta da AWS acesso ao seu nome de domínio personalizado privado, consulte Provedor de API: compartilhar seu nome de domínio personalizado privado usando o AWS RAM. Para obter instruções sobre como associar o endpoint da VPC a um nome de domínio personalizado privado em outra Conta da AWS, consulte Consumidor de API: associar o endpoint da VPC a um nome de domínio personalizado privado compartilhado com você.

Nesta página

Related resources

Referência da API do Amazon API Gateway
Comandos da AWS CLI para o Amazon API Gateway
SDKs e ferramentas 

Related resources

Referência da API do Amazon API Gateway
Comandos da AWS CLI para o Amazon API Gateway
SDKs e ferramentas 
PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.