Bewährte Methoden in Amazon API Gateway - Amazon API Gateway

Bewährte Methoden in Amazon API Gateway

API Gateway bietet eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.

Implementieren der geringstmöglichen Zugriffsrechte

Verwenden Sie IAM-Richtlinien zur Implementierung des Zugriffs mit den geringsten Rechten zum Erstellen, Lesen, Aktualisieren oder Löschen von API Gateway-APIs. Weitere Informationen hierzu finden Sie unter Identitäts- und Zugriffsverwaltung für Amazon API Gateway. API Gateway bietet mehrere Optionen zur Steuerung des Zugriffs auf von Ihnen erstellte APIs. Weitere Informationen hierzu finden Sie unter Zugriff auf REST-APIs in API Gateway steuern und verwalten, Zugriff auf WebSocket-APIs in API Gateway steuern und verwalten und Zugriffskontrolle für HTTP-APIs mit JWT-Genehmigern in API Gateway.

Implementieren der Protokollierung

Verwenden Sie CloudWatch Logs oder Amazon Data Firehose, um Anforderungen an Ihre APIs zu protokollieren. Weitere Informationen hierzu finden Sie unter REST APIs in API Gateway überwachen, Protokollierung für WebSocket-APIs in API Gateway konfigurieren und Konfigurieren der Protokollierung für HTTP-APIs in API Gateway.

Amazon CloudWatch-Alarme implementieren

Mit CloudWatch-Alarmen überwachen Sie eine einzelne Metrik über einen von Ihnen angegebenen Zeitraum. Wenn die Metrik einen bestimmten Schwellenwert überschreitet, wird eine Benachrichtigung an ein Thema von Amazon Simple Notification Service oder eine AWS Auto Scaling-Richtlinie gesendet. CloudWatch-Alarme lösen keine Aktionen aus, wenn sich eine Metrik in einem bestimmten Zustand befindet. Der Status muss sich stattdessen geändert haben und für eine festgelegte Anzahl an Zeiträumen aufrechterhalten worden sein. Weitere Informationen finden Sie unter Die REST-API-Ausführung mit Amazon-CloudWatch-Metriken überwachen.

Aktivieren von AWS CloudTrail

CloudTrail bietet eine Aufzeichnung von Aktionen, die von einem Benutzer, einer Rolle oder einem AWS-Service in API Gateway durchgeführt wurden. Mit den von CloudTrail gesammelten Informationen können Sie die an Amazon S3 gestellte Anfrage, die IP-Adresse, von der die Anfrage gestellt wurde, den Initiator der Anfrage, den Zeitpunkt der Anfrage und zusätzliche Angaben bestimmen. Weitere Informationen finden Sie unter Aufrufe an Amazon-API-Gateway-APIs mit AWS CloudTrail protokollieren.

Aktivieren von AWS Config

AWS Config bietet eine detaillierte Ansicht der Konfiguration der AWS-Ressourcen in Ihrem Konto. Sie können Ressourcenbeziehungen betrachten, einen Verlauf der Konfigurationsänderungen anzeigen und feststellen, wie sich Beziehungen und Konfigurationen im Lauf der Zeit ändern. Sie können AWS Config verwenden, um Regeln zu definieren, die Ressourcenkonfigurationen im Hinblick auf Daten-Compliance auswerten. AWS Config-Regeln stellen die idealen Konfigurationseinstellungen für Ihre API-Gateway-Ressourcen dar. Wenn eine Ressource gegen eine Regel verstößt und als nicht konform gekennzeichnet ist, kann AWS Config Sie mit einem Amazon Simple Notification Service (Amazon SNS)-Thema benachrichtigen. Details hierzu finden Sie unter API Gateway API-Konfiguration mit überwache AWS Config.

Verwenden von AWS Security Hub

Überwachen Sie Ihre API-Gateway-Nutzung in Bezug auf bewährte Sicherheitsmethoden, indem Sie AWS Security Hub verwenden. Security Hub verwendet Sicherheitskontrollen für die Bewertung von Ressourcenkonfigurationen und Sicherheitsstandards, um Sie bei der Einhaltung verschiedener Compliance-Frameworks zu unterstützen. Weitere Informationen zur Verwendung von Security Hub für die Bewertung von API-Gateway-Ressourcen finden Sie unter Amazon-API-Gateway-Steuerelemente im AWS Security Hub-Benutzerhandbuch.