本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 API Gateway 中控制和管理對 REST API 的存取
API Gateway 支援多種機制來控制和管理 API 的存取。
您可以使用下列機制進行身分驗證和授權:
-
資源政策可讓您建立以資源為基礎的政策,以從指定的來源 IP 地址或 VPC 端點允許或拒絕存取您的 API 和方法。如需詳細資訊,請參閱 控制對RESTAPI具有API閘道資源策略的存取。
-
標準 AWS IAM 角色和政策提供彈性且強大的存取控制,可套用至整個 API 或個別方法。您可以使用 IAM 角色和政策來控制誰可以建立和管理您的 API,以及誰可以呼叫它們。如需詳細資訊,請參閱 控制對RESTAPI具有IAM權限的訪問。
-
IAM 標籤可搭配 IAM 政策一起用來控制存取。如需詳細資訊,請參閱 使用標籤來控制對 API Gateway REST API 資源的存取。
-
界面 VPC 端點的端點政策可讓您將 IAM 資源政策連接至界面 VPC 端點,以提高私有 API 的安全性。如需詳細資訊,請參閱 APIs在API閘道中使用私有VPC端點政策。
-
Lambda 授權方是 Lambda 函數,其可使用承載字符身分驗證以及標頭、路徑、查詢字串、階段變數或上下文變數請求參數所述的資訊,控制 REST API 方法的存取。Lambda 授權方用來控制誰可以叫用 REST API 方法。如需詳細資訊,請參閱 使用API閘道 Lambda 授權者。
-
Amazon Cognito 使用者集區可讓您為 REST API 建立可自訂的身分驗證和授權解決方案。Amazon Cognito 使用者集區可用來控制誰可以叫用 REST API 方法。如需詳細資訊,請參閱 使用 Amazon Cognito 使用者集區做為授權者來控制對 REST API 的存取。
您可以使用以下機制來執行其他與存取控制相關的任務:
-
跨來源資源共享 (CORS) 可讓您控制 REST API 回應跨網域資源請求的方式。如需詳細資訊,請參閱 CORSRESTAPIs在API閘道中。
-
用戶端 SSL 憑證可用來驗證對後端系統的 HTTP 請求是否來自 API Gateway。如需詳細資訊,請參閱 在API閘道中產生並設定後端驗SSL證的憑證。
-
AWS WAF 可用來保護您的 API Gateway API 免受常見的網路攻擊。如需詳細資訊,請參閱 用 AWS WAF 於在 API Gateway 中保護您的其餘 API。
您可以使用以下機制來追蹤和限制您已授與授權用戶端之存取:
-
用量計劃可讓您將 API 金鑰提供給您的客戶,然後為每個 API 金鑰追蹤和限制 API 階段和方法的用量。如需更多詳細資訊,請參閱 API閘道RESTAPIs中的使用計劃和API金鑰 。