Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Privat REST APIs im API Gateway
Eine private API ist eine RESTAPI, die nur innerhalb eines Amazon VPC aufgerufen werden kann. Sie können API über einen VPCSchnittstellen-Endpunkt auf Ihren zugreifen. Dabei handelt es sich um eine Endpunkt-Netzwerkschnittstelle, die Sie in Ihrem VPC erstellen. Schnittstellenendpunkte werden unterstützt von AWS PrivateLink, eine Technologie, mit der Sie privat auf AWS Dienste zugreifen können, indem Sie private IP-Adressen verwenden.
Sie können es auch verwenden AWS Direct Connect , um eine Verbindung von einem lokalen Netzwerk zu Amazon herzustellen VPC und dann API über diese Verbindung auf Ihr privates Netzwerk zuzugreifen. In allen Fällen API verwendet der Datenverkehr zu Ihrem privaten Gerät sichere Verbindungen und ist vom öffentlichen Internet isoliert. Der Verkehr verlässt das Amazon-Netzwerk nicht.
Bewährte Methoden für Privatanwender APIs
Wir empfehlen Ihnen, bei der Erstellung Ihrer privaten Daten die folgenden bewährten Methoden zu verwendenAPI.
-
Verwenden Sie einen einzigen VPC Endpunkt, um auf mehrere private Endgeräte zuzugreifenAPIs. Dies reduziert die Anzahl der VPC Endpunkte, die Sie möglicherweise benötigen.
-
Ordnen Sie Ihren VPC Endpunkt Ihrem API zu. Dadurch wird ein Route DNS 53-Aliaseintrag erstellt und das Aufrufen Ihres privaten API Aliasdatensatzes vereinfacht.
-
Aktivieren Sie „Privat“ DNS für IhrenVPC. Wenn Sie Private DNS für Ihren aktivierenVPC, können Sie Ihre API innerhalb von aufrufen, VPC ohne den
x-apigw-api-id
HeaderHost
oder zu übergeben.Wenn Sie Private aktivierenDNS, können Sie nicht auf den Standardendpunkt für öffentlich APIs zugreifen. Um auf den Standardendpunkt für öffentlich zuzugreifenAPIs, können Sie die Option „Privat“ deaktivierenDNS, für jede private Zone API in Ihrer Zone eine private VPC Hosting-Zone erstellen und dann die erforderlichen Datensätze in Route 53 bereitstellen. Auf diese Weise kann Ihr privater Endpunkt aufgelöst werdenAPI, während Sie weiterhin den öffentlichen Standardendpunkt von Ihrem VPC aus aufrufen können. Weitere Informationen finden Sie unter Erstellen einer privat gehosteten Zone.
-
Beschränken Sie den Zugriff auf Ihren privaten Bereich API auf bestimmte Endpunkte VPCs oder VPC Endpunkte. Fügen Sie Ihrer API Ressourcenrichtlinie
aws:SourceVpc
oderaws:SourceVpce
Bedingungen hinzu, um den Zugriff einzuschränken. -
Für den sichersten Datenperimeter können Sie eine VPC Endpunktrichtlinie erstellen. Dadurch wird der Zugriff auf die VPC Endgeräte gesteuert, die Ihre privaten Endgeräte aufrufen können. API
Überlegungen zu Private APIs
Die folgenden Überlegungen könnten sich auf Ihre Nutzung von Private auswirkenAPIs.
-
Nur REST APIs werden unterstützt.
-
Benutzerdefinierte Domainnamen werden für private Domains nicht unterstütztAPIs.
Sie können einen privaten API nicht in einen Edge-optimierten API umwandeln.
-
Private APIs Only unterstützt 1.2TLS. Frühere TLS Versionen werden nicht unterstützt.
-
VPCEndpunkte für private Endgeräte APIs unterliegen denselben Einschränkungen wie andere VPC Schnittstellen-Endpunkte. Weitere Informationen finden Sie im Handbuch unter Zugreifen auf einen AWS Dienst über einen VPC Schnittstellenendpunkt.AWS PrivateLink Weitere Informationen zur Verwendung von API Gateway mit gemeinsam genutzten VPCs und gemeinsam genutzten Subnetzen finden Sie im Handbuch unter Gemeinsam genutzte Subnetze.AWS PrivateLink
Die nächsten Schritte für private Nutzer APIs
Informationen zum Erstellen eines privaten Endpunkts API und zum Zuordnen eines VPC Endpunkts finden Sie unterErstellen Sie eine private API. Eine Anleitung, in der Sie Abhängigkeiten in AWS CloudFormation und einen privaten API im erstellen AWS Management Console, finden Sie unterTutorial: Erstellen Sie ein privates REST API.