API de REST privadas en Amazon API Gateway - Amazon API Gateway
Prácticas recomendadas para API privadasConsideraciones sobre API privadasPróximos pasos para API privadas

API de REST privadas en Amazon API Gateway

Una API privada es una API de REST a la que solo se puede llamar desde dentro de una Amazon VPC. Puede acceder a la API con un punto de conexión de VPC de interfaz, que es una interfaz de red de punto de conexión que crea en la VPC. Los puntos de enlace de la interfaz tienen tecnología AWS PrivateLink, que le permite obtener acceso de forma privada a los servicios de AWS mediante direcciones IP privadas.

También puede utilizar AWS Direct Connect para establecer una conexión desde una red en las instalaciones a Amazon VPC y, a continuación, acceder a la API privada a través de esa conexión. En cualquier caso, el tráfico dirigido a la API privada utiliza conexiones seguras y está aislado de la Internet pública. El tráfico no sale de la red de Amazon.

Prácticas recomendadas para API privadas

Recomendamos que utilice las siguientes prácticas recomendadas al crear la API privada:

  • Utilice un punto de conexión de VPC único para acceder a varias API privadas. De este modo, se reduce el número de puntos de conexión de VPC que es posible que necesite.

  • Asocie el punto de conexión de VPC a la API. De este modo, se crea un registro de DNS de alias de Route 53 y se simplifica la invocación a la API privada.

  • Active el DNS privado de la VPC. De esta forma, puede invocar la API dentro de una VPC sin tener que pasar el host o el encabezado x-apigw-api-id. Si decide no habilitar el DNS privado, solo uede obtener acceso a la API a través de DNS públicos.

  • Restrinja el acceso a la API privada a VPC o puntos de conexión de VPC específicos. Agregue las condiciones aws:SourceVpc o aws:SourceVpce a la política de recursos de la API para restringir el acceso.

  • Para lograr el perímetro de datos más seguro, puede crear una política de punto de conexión de VPC. Esto controla el acceso a los puntos de conexión de VPC que pueden invocar la API privada.

Consideraciones sobre API privadas

Las siguientes consideraciones pueden afectar al uso de las API privadas:

  • Solo se admiten API de REST.

  • Los nombres de dominio personalizados no son compatibles con las API privadas.

  • Sin embargo, no puede convertir una API privada en una API optimizada para límites.

  • Las API privadas solo admiten TLS 1.2. No se admiten versiones de TLS anteriores.

  • Los puntos de enlace de la VPC de las API privadas están sujetos a las mismas limitaciones que otros puntos de enlace de la VPC de tipo interfaz. Para obtener más información, consulte Acceso a un servicio de AWS a través de un punto de conexión de VPC de interfaz en la Guía de AWS PrivateLink. Para obtener más información sobre cómo utilizar API Gateway con VPC compartidas y subredes compartidas, consulte Subredes compartidas en la Guía de AWS PrivateLink.

Próximos pasos para API privadas

Para obtener información sobre cómo crear una API privada y asociar un punto de conexión de VPC, consulte Creación de una API privada. Para seguir un tutorial en el que se crean dependencias en AWS CloudFormation y una API privada en la AWS Management Console, consulte Tutorial: Creación de una API de REST privada.