Wie spezifiziert man eine Sicherheitsrichtlinie für benutzerdefinierte Domänen Unterstützte Sicherheitsrichtlinien, TLS Protokollversionen und Verschlüsselungen für Edge-optimierte benutzerdefinierte Domänen Unterstützte Sicherheitsrichtlinien, TLS Protokollversionen und Verschlüsselungen für regionale benutzerdefinierte Domänen Unterstützte TLS Protokollversionen und Chiffren für private Benutzer APIs Namen öffnen SSL und chiffrieren RFC Informationen über HTTP APIs und WebSocket APIs

Wählen Sie eine Sicherheitsrichtlinie für Ihre REST API benutzerdefinierte Domain in API Gateway

Um die Sicherheit Ihrer benutzerdefinierten Amazon API Gateway-Domain zu erhöhen, können Sie in der API Gateway-Konsole eine Sicherheitsrichtlinie AWS CLI, die oder eine auswählen AWS SDK.

Eine Sicherheitsrichtlinie ist eine vordefinierte Kombination aus TLS Mindestversion und Verschlüsselungssammlungen, die von API Gateway angeboten werden. Sie können entweder eine Sicherheitsrichtlinie der TLS Version 1.2 oder der TLS Version 1.0 wählen. Das TLS Protokoll behebt Netzwerksicherheitsprobleme wie Manipulation und Abhören zwischen einem Client und einem Server. Wenn Ihre Clients API über die benutzerdefinierte Domain einen TLS Handshake zu Ihnen einrichten, erzwingt die Sicherheitsrichtlinie die TLS Version und die Cipher Suite-Optionen, die Ihre Kunden verwenden können.

In benutzerdefinierten Domäneneinstellungen legt eine Sicherheitsrichtlinie zwei Einstellungen fest:

Die TLS Mindestversion, die API Gateway für die Kommunikation mit Clients verwendet API
Die Chiffre, die API Gateway verwendet, um den Inhalt zu verschlüsseln, den es an die Clients zurückgibt API

Wenn Sie eine TLS 1.0-Sicherheitsrichtlinie wählen, akzeptiert die Sicherheitsrichtlinie TLS 1.0-, TLS 1.2- und TLS 1.3-Verkehr. Wenn Sie eine TLS 1.2-Sicherheitsrichtlinie wählen, akzeptiert die Sicherheitsrichtlinie TLS TLS 1.2- und 1.3-Verkehr und lehnt TLS 1.0-Verkehr ab.

Anmerkung

Sie können eine Sicherheitsrichtlinie nur für eine benutzerdefinierte Domäne angeben. Für die API Verwendung eines Standardendpunkts verwendet API Gateway die folgende Sicherheitsrichtlinie:

Für Edge-OptimizedAPIs: TLS-1-0
Für Regional: APIs TLS-1-0
Für private ZweckeAPIs: TLS-1-2

Die Chiffren für jede Sicherheitsrichtlinie werden in den folgenden Tabellen auf dieser Seite beschrieben.

Themen

Wie spezifiziert man eine Sicherheitsrichtlinie für benutzerdefinierte Domänen
Unterstützte Sicherheitsrichtlinien, TLS Protokollversionen und Verschlüsselungen für Edge-optimierte benutzerdefinierte Domänen
Unterstützte Sicherheitsrichtlinien, TLS Protokollversionen und Verschlüsselungen für regionale benutzerdefinierte Domänen
Unterstützte TLS Protokollversionen und Chiffren für private Benutzer APIs
Namen öffnen SSL und chiffrieren RFC
Informationen über HTTP APIs und WebSocket APIs

Wie spezifiziert man eine Sicherheitsrichtlinie für benutzerdefinierte Domänen

Wenn Sie einen benutzerdefinierten Domänennamen erstellen, geben Sie die Sicherheitsrichtlinie für diesen an. Informationen zum Erstellen einer benutzerdefinierten Domäne finden Sie unter Richten Sie einen Edge-optimierten benutzerdefinierten Domainnamen in Gateway ein API oderRichten Sie einen regionalen benutzerdefinierten Domainnamen in API Gateway ein.

Um die Sicherheitsrichtlinie für Ihren benutzerdefinierten Domainnamen zu ändern, aktualisieren Sie die benutzerdefinierten Domäneneinstellungen. Sie können Ihre benutzerdefinierten Domainnamen-Einstellungen mit dem AWS Management Console AWS CLI, dem oder einem aktualisieren AWS SDK.

Wenn Sie das API Gateway REST API oder verwenden AWS CLI, geben Sie die neue TLS Version TLS_1_0 oder TLS_1_2 im securityPolicy Parameter an. Weitere Informationen finden Sie unter domainname:update in der Amazon API REST API Gateway-Referenz oder update-domain-namein der AWS CLI Referenz.

Der Aktualisierungsvorgang kann einige Minuten dauern.

Unterstützte Sicherheitsrichtlinien, TLS Protokollversionen und Verschlüsselungen für Edge-optimierte benutzerdefinierte Domänen

In der folgenden Tabelle werden die Sicherheitsrichtlinien beschrieben, die für Edge-optimierte benutzerdefinierte Domänennamen angegeben werden können.

TLSProtokolle	TLS_1_0 Sicherheitsrichtlinie	TLS_1_2 Sicherheitsrichtlinie
TLSv13.	Ja	Ja
TLSv1.2	Ja	Ja
TLSv1.1	Ja	Nein
TLSv1	Ja	Nein

In der folgenden Tabelle werden die TLS Chiffren beschrieben, die für jede Sicherheitsrichtlinie verfügbar sind.

TLSChiffren	TLS_1_0 Sicherheitsrichtlinie	TLS_1_2 Sicherheitsrichtlinie
TLS_ _128_ _ AES GCM SHA256	Ja	Ja
TLS_ _256_ _ AES GCM SHA384	Ja	Ja
TLS_ 0_ 05_ CHACHA2 POLY13 SHA256	Ja	Ja
ECDHE-ECDSA-AES128-GCM-SHA256	Ja	Ja
ECDHE-ECDSA-AES128-SHA256	Ja	Ja
ECDHE-ECDSA-AES128-SHA	Ja	Nein
ECDHE-ECDSA-AES256-GCM-SHA384	Ja	Ja
ECDHE- ECDSA - CHACHA2 0- 05 POLY13	Ja	Ja
ECDHE-ECDSA-AES256-SHA384	Ja	Ja
ECDHE-ECDSA-AES256-SHA	Ja	Nein
ECDHE-RSA-AES128-GCM-SHA256	Ja	Ja
ECDHE-RSA-AES128-SHA256	Ja	Ja
ECDHE-RSA-AES128-SHA	Ja	Nein
ECDHE-RSA-AES256-GCM-SHA384	Ja	Ja
ECDHE- RSA - CHACHA2 0- POLY13 05	Ja	Ja
ECDHE-RSA-AES256-SHA384	Ja	Ja
ECDHE-RSA-AES256-SHA	Ja	Nein
AES128-GCM-SHA256	Ja	Nein
AES256-GCM-SHA384	Ja	Ja
AES128-SHA256	Ja	Ja
AES256-SHA	Ja	Nein
AES128-SHA	Ja	Nein
DES-CBC3-SHA	Ja	Nein

Unterstützte Sicherheitsrichtlinien, TLS Protokollversionen und Verschlüsselungen für regionale benutzerdefinierte Domänen

In der folgenden Tabelle werden die Sicherheitsrichtlinien für regionale benutzerdefinierte Domänennamen beschrieben.

TLSProtokolle	TLS_1_0 Sicherheitsrichtlinie	TLS_1_2 Sicherheitsrichtlinie
TLSv13.	Ja	Ja
TLSv1.2	Ja	Ja
TLSv1.1	Ja	Nein
TLSv1	Ja	Nein

In der folgenden Tabelle werden die TLS Chiffren beschrieben, die für jede Sicherheitsrichtlinie verfügbar sind.

TLSChiffren	TLS_1_0 Sicherheitsrichtlinie	TLS_1_2 Sicherheitsrichtlinie
TLS_ _128_ _ AES GCM SHA256	Ja	Ja
TLS_ _256_ _ AES GCM SHA384	Ja	Ja
TLS_ 0_ 05_ CHACHA2 POLY13 SHA256	Ja	Ja
ECDHE-ECDSA-AES128-GCM-SHA256	Ja	Ja
ECDHE-RSA-AES128-GCM-SHA256	Ja	Ja
ECDHE-ECDSA-AES128-SHA256	Ja	Ja
ECDHE-RSA-AES128-SHA256	Ja	Ja
ECDHE-ECDSA-AES128-SHA	Ja	Nein
ECDHE-RSA-AES128-SHA	Ja	Nein
ECDHE-ECDSA-AES256-GCM-SHA384	Ja	Ja
ECDHE-RSA-AES256-GCM-SHA384	Ja	Ja
ECDHE-ECDSA-AES256-SHA384	Ja	Ja
ECDHE-RSA-AES256-SHA384	Ja	Ja
ECDHE-RSA-AES256-SHA	Ja	Nein
ECDHE-ECDSA-AES256-SHA	Ja	Nein
AES128-GCM-SHA256	Ja	Ja
AES128-SHA256	Ja	Ja
AES128-SHA	Ja	Nein
AES256-GCM-SHA384	Ja	Ja
AES256-SHA256	Ja	Ja
AES256-SHA	Ja	Nein

Unterstützte TLS Protokollversionen und Chiffren für private Benutzer APIs

In der folgenden Tabelle werden die unterstützten TLS Protokolle für private Zwecke beschrieben. APIs Die Angabe einer Sicherheitsrichtlinie für private APIs Benutzer wird nicht unterstützt.

TLSProtokolle	TLS_1_2 Sicherheitsrichtlinie
TLSv12.2	Ja

In der folgenden Tabelle werden die TLS Chiffren beschrieben, die für die TLS_1_2 Sicherheitsrichtlinie für die einzelnen Sicherheitsrichtlinien verfügbar sindAPIs.

TLSChiffren	TLS_1_2 Sicherheitsrichtlinie
ECDHE-ECDSA-AES128-GCM-SHA256	Ja
ECDHE-RSA-AES128-GCM-SHA256	Ja
ECDHE-ECDSA-AES128-SHA256	Ja
ECDHE-RSA-AES128-SHA256	Ja
ECDHE-ECDSA-AES256-GCM-SHA384	Ja
ECDHE-RSA-AES256-GCM-SHA384	Ja
ECDHE-ECDSA-AES256-SHA384	Ja
ECDHE-RSA-AES256-SHA384	Ja
AES128-GCM-SHA256	Ja
AES128-SHA256	Ja
AES256-GCM-SHA384	Ja
AES256-SHA256	Ja

Namen öffnen SSL und chiffrieren RFC

Open SSL und IETF RFC 5246 verwenden unterschiedliche Namen für dieselben Chiffren. In der folgenden Tabelle wird der SSL Name Open den RFC Namen der einzelnen Chiffren zugeordnet.

Öffnen Sie den Namen der Chiffre SSL	RFCName der Chiffre
TLS_ _128_ _ AES GCM SHA256	TLS_ _128_ _ AES GCM SHA256
TLS_ _256_ _ AES GCM SHA384	TLS_ _256_ _ AES GCM SHA384
TLS_ 0_ 05_ CHACHA2 POLY13 SHA256	TLS_ 0_ 05_ CHACHA2 POLY13 SHA256
ECDHE-RSA-AES128-GCM-SHA256	TLS_ _ ECDHE _ RSA _128_ WITH _ AES GCM SHA256
ECDHE-RSA-AES128-SHA256	TLS_ _ ECDHE _ _ RSA 128_ WITH _ AES CBC SHA256
ECDHE-RSA-AES128-SHA	TLS_ _ ECDHE _ _ RSA 128_ WITH _ AES CBC SHA
ECDHE-RSA-AES256-GCM-SHA384	TLS_ _ _ ECDHE _ RSA _256_ WITH _ AES GCM SHA384
ECDHE-RSA-AES256-SHA384	TLS_ _ _ ECDHE _ RSA _256_ WITH _ AES CBC SHA384
ECDHE-RSA-AES256-SHA	TLS_ _ _ ECDHE _ RSA _256_ WITH _ AES CBC SHA
AES128-GCM-SHA256	TLS_ _ _ RSA _128_ WITH _ AES GCM SHA256
AES256-GCM-SHA384	TLS_ _ _ RSA _256_ WITH _ AES GCM SHA384
AES128-SHA256	TLS_ _ _ RSA _128_ WITH _ AES CBC SHA256
AES256-SHA	TLS_ _ _ RSA _256_ WITH _ AES CBC SHA
AES128-SHA	TLS_ _ _ RSA _128_ WITH _ AES CBC SHA
DES-CBC3-SHA	TLS_ RSA _ WITH _3 DES _ _ EDE CBC SHA

Informationen über HTTP APIs und WebSocket APIs

Weitere Informationen zu HTTP APIs und WebSocket APIs finden Sie unter Sicherheitsrichtlinie für HTTP APIs in API Gateway undSicherheitsrichtlinie für WebSocket APIs in API Gateway.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

APIZuordnungen

Deaktivieren des Standardendpunkts