Control y administración del acceso a las API de REST en API Gateway
API Gateway admite varios mecanismos para controlar y administrar el acceso a la API.
Puede utilizar os siguientes mecanismos para realizar la autenticación y autorización:
-
Gracias a las políticas de recursos, puede crear políticas basadas en recursos para permitir o denegar el acceso a sus API y métodos desde determinadas direcciones IP de origen o determinados puntos de enlace de la VPC. Para obtener más información, consulte Control del acceso a una API de REST con políticas de recursos de API Gateway.
-
Los roles y las políticas estándar de AWS IAM ofrecen controles de acceso flexibles y robustos que se pueden aplicar a toda una API o a métodos individuales. Puede usar roles y políticas de IAM para controlar quién puede crear y administrar sus API, así como quién puede invocarlas. Para obtener más información, consulte Control del acceso a una API de REST con permisos de IAM.
-
Las etiquetas de IAM se pueden utilizar con políticas de IAM para controlar el acceso. Para obtener más información, consulte Uso de etiquetas para controlar el acceso a los recursos API de REST de API Gateway.
-
Las políticas de punto de enlace para los puntos de enlace de la VPC de interfaz le permiten asociar las políticas de recursos de IAM a puntos de enlace de interfaz de la VPC para mejorar la seguridad de sus API privadas. Para obtener más información, consulte Utilizar políticas de punto de enlace de la VPC para API privadas en API Gateway.
-
Los autorizadores Lambda son funciones de Lambda que controlan el acceso a los métodos de la API REST utilizando la autenticación de token al portador, así como la información descrita por los encabezados, rutas, cadenas de consulta, variables de etapa o parámetros de solicitud de variables contextuales. Los autorizadores Lambda se utilizan para controlar quién puede invocar los métodos REST API. Para obtener más información, consulte Uso de autorizadores Lambda de API Gateway.
-
Los grupos de usuarios de Amazon Cognito permiten crear soluciones personalizables de autenticación y autorización para las API REST. Los grupos de usuarios de Amazon Cognito se utilizan para controlar quién puede invocar los métodos de la API REST. Para obtener más información, consulte Control del acceso a las API de REST con grupos de usuarios de Amazon Cognito como autorizador.
Puede utilizar los siguientes mecanismos para realizar otras tareas relacionadas con el control de acceso:
-
El uso compartido de recursos entre orígenes (CORS) permite controlar la forma en que la API REST responde a las solicitudes de recursos entre dominios. Para obtener más información, consulte CORS para las API de REST en API Gateway.
-
Los certificados SSL del lado del cliente pueden utilizarse para verificar que las solicitudes HTTP dirigidas a su sistema backend proceden de API Gateway. Para obtener más información, consulte Generación y configuración de un certificado SSL para la autenticación de backend en API Gateway.
-
AWS WAF se puede utilizar para proteger la API de API Gateway frente a ataques web comunes. Para obtener más información, consulte Uso de AWS WAF para proteger sus API de REST en API Gateway.
Puede utilizar los siguientes mecanismos para rastrear y limitar el acceso concedido a los clientes autorizados:
-
Los planes de uso permiten proporcionar claves de API a sus clientes y, después, realizar un seguimiento y limitar el uso de etapas y métodos de API para cada clave de API. Para obtener más información, consulte Planes de uso y clave de API para las API de REST en API Gateway .
