使用 API Gateway 資源策略控制對 REST API 的存取

Amazon API Gateway 資源政策為連接到 API 的 JSON 政策文件，以控制指定的委託人 (通常是 IAM 角色或群組) 是否可以叫用 API。您可以使用 API Gateway 資源政策，允許您的 API 由以下來源安全地呼叫：

• 來自指定 AWS 帳戶的使用者。

• 指定來源 IP 地址範圍或 CIDR 區塊。

• 指定 Virtual Private Cloud (VPC) 或 VPC 端點 (在任何帳戶)。

您可以使用 AWS Management Console、 AWS CLI 或 AWS SDK，為 API Gateway 中的任何 API 端點類型附加資源策略。處理私有 API 時，您可以將資源政策與 VPC 端點政策搭配使用，藉此控制能具備存取權限的委託人，以及其可存取的資源和動作。如需詳細資訊，請參閱 在 API Gateway 中使用私有 API 的 VPC 端點政策。

API Gateway 資源政策與 IAM 身分政策不同。IAM 身分政策會連接到 IAM 使用者、群組或角色，並定義這些身分能對哪些資源執行什麼動作。API Gateway 資源政策連接至資源。您可以使用 API Gateway 資源政策搭配 IAM 政策。如需更多詳細資訊，請參閱 以身份為基礎和以資源為基礎的政策。

主題

• Amazon API Gateway 的存取原則語言概觀
• API Gateway 資源政策如何影響授權工作流程
• API Gateway 資源政策範例
• 建立 API Gateway 資源政策並連接至 API
• AWS 可在 API Gateway 資源策略中使用的條件金鑰