Verwenden Sie VPC Endpunktrichtlinien für private APIs Zwecke in API Gateway - APIAmazon-Gateway
VPCÜberlegungen zur EndpunktrichtlinieVPCBeispiele für EndpunktrichtlinienBeispiel 1: VPC Endpunktrichtlinie, die zwei Personen Zugriff gewährt APIsBeispiel 2: VPC Endpunktrichtlinie, die Zugriff auf GET Methoden gewährtBeispiel 3: VPC Endpunktrichtlinie, die einem bestimmten Benutzer Zugriff auf einen bestimmten API

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie VPC Endpunktrichtlinien für private APIs Zwecke in API Gateway

Um die Sicherheit Ihrer privaten Daten zu verbessernAPI, können Sie eine VPC Endpunktrichtlinie erstellen. Eine VPC Endpunktrichtlinie ist eine IAM Ressourcenrichtlinie, die Sie einem VPC Endpunkt zuordnen. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Dienste mit VPC Endpunkten.

Möglicherweise möchten Sie eine VPC Endpunktrichtlinie erstellen, um die folgenden Aufgaben auszuführen.

  • Erlauben Sie nur bestimmten Organisationen oder Ressourcen den Zugriff auf Ihren VPC Endpunkt und rufen Sie Ihren API auf.

  • Verwenden Sie eine einzige Richtlinie und vermeiden Sie sitzungs- oder rollenbasierte Richtlinien zur Steuerung des Datenverkehrs zu Ihrem. API

  • Verschärfen Sie den Sicherheitsbereich Ihrer Anwendung bei der Migration von lokal zu. AWS

VPCÜberlegungen zur Endpunktrichtlinie

Im Folgenden finden Sie Überlegungen zu Ihrer VPC Endpunktrichtlinie.

  • Die Identität des Aufrufers wird anhand des Authorization-Header-Werts bewertet. Je nach Ihrem authorizationType kann dies zu einem 403 IncompleteSignatureException oder einem 403 InvalidSignatureException-Fehler führen. Die folgende Tabelle zeigt die Authorization-Header-Werte für die einzelnen authorizationType.

    authorizationType

    AuthorizationHeader ausgewertet?

    Zulässige Authorization Header-Werte
    NONE mit der Standardrichtlinie für Vollzugriff Nein Nicht bestanden
    NONE mit einer benutzerdefinierten Zugriffsrichtlinie Ja Muss ein gültiger SigV4-Wert sein
    IAM Ja Muss ein gültiger SigV4-Wert sein
    CUSTOM oder COGNITO_USER_POOLS Nein Nicht bestanden

  • Wenn eine Richtlinie den Zugriff auf einen bestimmten IAM Prinzipal einschränktarn:aws:iam::account-id:role/developer, müssen Sie beispielsweise Ihre API Methode auf AWS_IAM oder NONE setzen. authorizationType Weitere Anweisungen zum Einstellen der authorizationType für eine Methode finden Sie unterMethoden für REST APIs in API Gateway.

  • VPCEndpunktrichtlinien können zusammen mit API Gateway-Ressourcenrichtlinien verwendet werden. Die API Gateway-Ressourcenrichtlinie legt fest, welche Prinzipale auf die API zugreifen können. Die Endpunktrichtlinie legt fest, wer auf den Endpunkt zugreifen APIs kann VPC und wer vom VPC Endpunkt aus aufgerufen werden kann. Ihr Privatgerät API benötigt eine Ressourcenrichtlinie, aber Sie müssen keine benutzerdefinierte VPC Endpunktrichtlinie erstellen.

VPCBeispiele für Endpunktrichtlinien

Sie können Richtlinien für Amazon Virtual Private Cloud Cloud-Endpunkte für Amazon API Gateway erstellen, in denen Sie Folgendes angeben können.

  • Prinzipal, der die Aktionen ausführen kann.

  • Aktionen, die ausgeführt werden können

  • Ressourcen, für die Aktionen ausgeführt werden können

Um die Richtlinie an den VPC Endpunkt anzuhängen, müssen Sie die VPC Konsole verwenden. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Dienste mit VPC Endpunkten.

Beispiel 1: VPC Endpunktrichtlinie, die zwei Personen Zugriff gewährt APIs

Die folgende Beispielrichtlinie gewährt Zugriff auf nur zwei bestimmte Benutzer APIs über den VPC Endpunkt, an den die Richtlinie angehängt ist.

{
    "Statement": [
        {
            "Principal": "*",
            "Action": [
                "execute-api:Invoke"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/*",
                "arn:aws:execute-api:us-east-1:123412341234:aaaaa11111/*"
            ]
        }
    ]
}

Beispiel 2: VPC Endpunktrichtlinie, die Zugriff auf GET Methoden gewährt

Die folgende Beispielrichtlinie gewährt Benutzern Zugriff auf GET Methoden für eine bestimmte Methode API über den VPC Endpunkt, an den die Richtlinie angehängt ist.

{
    "Statement": [
        {
            "Principal": "*",
            "Action": [
                "execute-api:Invoke"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/stageName/GET/*"
            ]
        }
    ]
}

Beispiel 3: VPC Endpunktrichtlinie, die einem bestimmten Benutzer Zugriff auf einen bestimmten API

Die folgende Beispielrichtlinie gewährt einem bestimmten Benutzer Zugriff auf einen bestimmten API über den VPC Endpunkt, an den die Richtlinie angehängt ist.

In diesem Fall müssen Sie die Methode auf oder setzen, da die Richtlinie den authorizationType Zugriff auf bestimmte IAM Prinzipale beschränkt. AWS_IAM NONE

{
    "Statement": [
        {
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123412341234:user/MyUser"
                ]
            },
            "Action": [
                "execute-api:Invoke"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/*"
            ]
        }
    ]
}