针对 API Gateway 中的 WebSocket API 的安全策略
API Gateway 对所有 WebSocket API 端点强制执行 TLS_1_2 的安全策略。
安全策略 是 Amazon API Gateway 提供的最低 TLS 版本和密码套件的预定义组合。TLS 协议解决了网络安全问题,例如客户端和服务器之间的篡改和窃听。当您的客户端通过自定义域建立与您 API 的 TLS 握手时,安全策略实施客户端可以选择使用的 TLS 版本和密码套件选项。此安全策略接受 TLS 1.2 和 TLS 1.3 流量并拒绝 TLS 1.0 流量。
WebSocket API 支持的 TLS 协议和密码
下表描述了 WebSocket API 支持的 TLS 协议。
TLS 协议 |
TLS_1_0 安全策略 |
|---|---|
TLSv1.3 |
|
TLSv1.2 |
下表描述了适用于 WebSocket API 的 TLS 1_2 安全策略的 TLS 密码。
TLS 密码 |
TLS_1_0 安全策略 |
|---|---|
TLS_AES_128_GCM_SHA256 |
|
TLS_AES_256_GCM_SHA384 |
|
TLS_CHACHA20_POLY1305_SHA256 |
|
ECDHE-ECDSA-AES128- GCM-SHA256 |
|
ECDHE-RSA-AES128- GCM-SHA256 |
|
ECDHE-ECDSA-AES128-SHA256 |
|
ECDHE-RSA-AES128-SHA256 |
|
ECDHE-ECDSA-AES256- GCM-SHA384 |
|
ECDHE-RSA-AES256- GCM-SHA384 |
|
ECDHE-ECDSA-AES256-SHA384 |
|
ECDHE-RSA-AES256-SHA384 |
|
AES128-GCM-SHA256 |
|
AES128-SHA256 |
|
AES256-GCM-SHA384 |
|
AES256-SHA256 |
OpenSSL 和 RFC 密码名称
OpenSSL 和 IETF RFC 5246 为相同的密码使用不同的名称。有关密码名称的列表,请参阅OpenSSL 和 RFC 密码名称。
有关 REST API 和 HTTP API 的信息
有关 REST API 和 HTTP API 的更多信息,请参阅选择针对 API Gateway 中 REST API 自定义域的安全策略和API Gateway 中的 HTTP API 的安全策略。
