在 API Gateway 中控制和管理 REST API 的存取

API Gateway 支援多種機制來控制和管理 API 的存取。

您可以使用下列機制進行身分驗證和授權：

• 資源政策可讓您建立以資源為基礎的政策，以從指定的來源 IP 地址或 VPC 端點允許或拒絕存取您的 API 和方法。如需更多詳細資訊，請參閱 使用 API Gateway 資源政策控制對 API 的存取。

• 標準 AWS IAM 角色和政策提供靈活且強大的存取控制，可套用至整個 API 或個別方法。您可以使用 IAM 角色和政策來控制誰可以建立和管理您的 API，以及誰可以呼叫它們。如需更多詳細資訊，請參閱 使用 IAM 許可控制 API 的存取。

• IAM 標籤可搭配 IAM 政策一起用來控制存取。如需更多詳細資訊，請參閱 使用標籤來控制對 API Gateway REST API 資源的存取。

• 界面 VPC 端點的端點政策可讓您將 IAM 資源政策連接至界面 VPC 端點，以提高私有 API 的安全性。如需更多詳細資訊，請參閱 在 API Gateway 中使用私有 API 的 VPC 端點政策。

• Lambda 授權方是 Lambda 函數，其可使用承載字符身分驗證以及標頭、路徑、查詢字串、階段變數或上下文變數請求參數所述的資訊，控制 REST API 方法的存取。Lambda 授權方用來控制誰可以叫用 REST API 方法。如需更多詳細資訊，請參閱 使用 API Gateway Lambda 授權方。

• Amazon Cognito 使用者集區可讓您為 REST API 建立可自訂的身分驗證和授權解決方案。Amazon Cognito 使用者集區可用來控制誰可以叫用 REST API 方法。如需更多詳細資訊，請參閱 使用 Amazon Cognito 使用者集區作為授權方來控制對 REST API 的存取。

您可以使用以下機制來執行其他與存取控制相關的任務：

• 跨來源資源共享 (CORS) 可讓您控制 REST API 回應跨網域資源請求的方式。如需更多詳細資訊，請參閱 為 REST API 資源啟用 CORS。

• 用戶端 SSL 憑證可用來驗證對後端系統的 HTTP 請求是否來自 API Gateway。如需更多詳細資訊，請參閱 產生和設定後端身分驗證的 SSL 憑證。

• AWS WAF 可用來保護您的 API Gateway API 免受常見的網路攻擊。如需更多詳細資訊，請參閱 使用 AWS WAF 來保護您的 API。

您可以使用以下機制來追蹤和限制您已授與授權用戶端之存取：

• 用量計劃可讓您將 API 金鑰提供給您的客戶，然後為每個 API 金鑰追蹤和限制 API 階段和方法的用量。如需更多詳細資訊，請參閱 使用 API 金鑰建立及使用用量計劃。