Private REST-APIs im Amazon API Gateway - Amazon API Gateway
Bewährte Methoden für private APIsÜberlegungen zu privaten APIsDie nächsten Schritte für private APIs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Private REST-APIs im Amazon API Gateway

Eine private API ist eine REST-API, die nur innerhalb einer Amazon VPC aufgerufen werden kann. Sie können über einen Schnittstellen-VPC-Endpunkt auf Ihre API zugreifen. Dabei handelt es sich um eine Endpunkt-Netzwerkschnittstelle, die Sie in Ihrer VPC erstellen. Schnittstellenendpunkte basieren auf einer TechnologieAWS PrivateLink, die es Ihnen ermöglicht, über private IP-Adressen privat auf AWS Dienste zuzugreifen.

Sie können es auch verwenden AWS Direct Connect , um eine Verbindung von einem lokalen Netzwerk zu Amazon VPC herzustellen und dann über diese Verbindung auf Ihre private API zuzugreifen. In allen Fällen verwendet der Datenverkehr zu Ihrer privaten API sichere Verbindungen und ist vom öffentlichen Internet isoliert. Der Verkehr verlässt das Amazon-Netzwerk nicht.

Bewährte Methoden für private APIs

Wir empfehlen Ihnen, bei der Erstellung Ihrer privaten API die folgenden bewährten Methoden zu verwenden:

  • Verwenden Sie einen einzigen VPC-Endpunkt, um auf mehrere private APIs zuzugreifen. Dadurch wird die Anzahl der VPC-Endpoints reduziert, die Sie möglicherweise benötigen.

  • Ordnen Sie Ihren VPC-Endpunkt Ihrer API zu. Dadurch wird ein Route 53-Alias-DNS-Eintrag erstellt und der Aufruf Ihrer privaten API vereinfacht.

  • Aktivieren Sie privates DNS für Ihre VPC. Auf diese Weise können Sie Ihre API innerhalb einer VPC aufrufen, ohne den Host oder x-apigw-api-id Header übergeben zu müssen. Wenn Sie das private DNS nicht aktivieren, können Sie nur über das öffentliche DNS auf Ihre API zugreifen.

  • Beschränken Sie den Zugriff auf Ihre private API auf bestimmte VPCs oder VPC-Endpunkte. Fügen Sie aws:SourceVpc der Ressourcenrichtlinie Ihrer API aws:SourceVpce Bedingungen hinzu, um den Zugriff einzuschränken.

  • Für den sichersten Datenperimeter können Sie eine VPC-Endpunktrichtlinie erstellen. Dadurch wird der Zugriff auf die VPC-Endpunkte gesteuert, die Ihre private API aufrufen können.

Überlegungen zu privaten APIs

Die folgenden Überlegungen könnten sich auf Ihre Verwendung privater APIs auswirken:

  • Es werden nur REST-APIs unterstützt.

  • Benutzerdefinierte Domainnamen werden für private APIs nicht unterstützt.

  • Sie können keine private API in eine Edge-optimierte API konvertieren.

  • Private APIs unterstützen nur TLS 1.2. Frühere TLS-Versionen werden nicht unterstützt.

  • Für VPC-Endpunkte für private APIs gelten die gleichen Einschränkungen wie für andere Schnittstellen-VPC-Endpunkte. Weitere Informationen finden Sie im AWS PrivateLink Handbuch unter Zugreifen auf einen AWS Dienst über einen Schnittstellen-VPC-Endpunkt. Weitere Hinweise zur Verwendung von API Gateway mit gemeinsam genutzten VPCs und Subnetzen finden Sie unter Gemeinsam genutzte Subnetze im AWS PrivateLink -Leitfaden.

Die nächsten Schritte für private APIs

Informationen zum Erstellen einer privaten API und zum Zuordnen eines VPC-Endpunkts finden Sie unter. Erstellen Sie eine private API Eine Anleitung, in der Sie Abhängigkeiten AWS CloudFormation und eine private API in der erstellen AWS Management Console, finden Sie unterTutorial: Erstellen Sie eine private REST-API.