使用 API Gateway 资源策略控制对 API 的访问 - Amazon API Gateway

使用 API Gateway 资源策略控制对 API 的访问

Amazon API Gateway 资源策略 是您附加到 API 用于控制指定的委托人(通常是 IAM 用户或角色)能否调用 API 的 JSON 策略文档。您可以使用 API Gateway 资源策略来允许 API 安全地被以下对象调用:

  • 指定的 AWS 账户中的用户

  • 指定源 IP 地址范围或 CIDR 块

  • 指定的 Virtual Private Cloud (VPC) 或 VPC 终端节点(在任何账户中)。

您可以对 API Gateway 中的所有 API 终端节点类型使用资源策略:私有、边缘优化和区域。

对于 私有 API,您可以将资源策略与 VPC 终端节点策略一起使用,控制委托人有权访问哪些资源和操作。有关更多信息,请参阅 在 API Gateway 中为私有 API 使用 VPC 终端节点策略

您可以使用 AWS Management Console、AWS CLI 或 AWS 开发工具包将资源策略附加到 API。

API Gateway 资源策略与基于 IAM 身份的策略不同。基于 IAM 身份的策略附加到 IAM 用户、组或角色并定义这些身份能够对哪些资源执行哪些操作。API Gateway 资源策略是附加到资源的。有关基于身份的策略与资源策略的区别的更详细讨论,请参阅基于身份的策略与基于资源的策略

您可以同时使用 API Gateway 资源策略和 IAM 策略。