API Gateway proporciona un número de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no suponen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.
- Implementación del acceso a los privilegios mínimos
-
Utilice las políticas de IAM para implementar el acceso a los privilegios mínimos para crear, leer, actualizar o eliminar una API de API Gateway. Para obtener más información, consulte Identity and Access Management para Amazon API Gateway. API Gateway ofrece varias opciones para controlar el acceso a las API que cree. Para obtener más información, consulte Control y administración del acceso a las API de REST en API Gateway, Control y administración del acceso a las API de WebSocket en API Gateway y Control del acceso a API HTTP con autorizadores de JWT en API Gateway.
- Implementar registro
-
Utilice CloudWatch Logs o Amazon Data Firehose para registrar solicitudes a las API. Para obtener más información, consulte Supervisión de las API de REST en API Gateway, Configuración del registro de las API de WebSocket en API Gateway y Configuración del registro de API HTTP en API Gateway.
- Implementación de alarmas de Amazon CloudWatch
-
Las alarmas de Amazon CloudWatch le permiten ver una sola métrica durante el período de tiempo que especifique. Si la métrica supera un límite determinado, se envía una notificación a un tema de Amazon Simple Notification Service o a una política de AWS Auto Scaling. Las alarmas de CloudWatch no invocan acciones cuando una métrica se encuentra en un estado determinado. En su lugar, el estado debe haber cambiado y debe mantenerse durante el número de periodos especificado. Para obtener más información, consulte Supervisión de la ejecución de la API de REST con métricas de Amazon CloudWatch.
- Habilitar AWS CloudTrail
-
CloudTrail proporciona un registro de las medidas adoptadas por un usuario, un rol o un servicio de AWS en API Gateway. Mediante la información recopilada por CloudTrail, puede determinar la solicitud que se realizó a API Gateway, la dirección IP de origen desde la que se realizó, quién la realizó y cuándo, etc. Para obtener más información, consulte Registro de llamadas a las API de Amazon API Gateway con AWS CloudTrail.
- Habilitar AWS Config
-
AWS Config proporciona una vista detallada de la configuración de los recursos de AWS de su cuenta. Puede observar las relaciones entre los recursos, obtener un historial de los cambios de configuración y comprobar cómo cambian las relaciones y configuraciones con el paso del tiempo. Puede utilizar AWS Config para definir reglas que evalúen la conformidad de los datos de estas configuraciones de recursos. Las reglas de AWS Config representan las opciones de configuración ideales para sus recursos de API Gateway. Si un recurso infringe una regla y está marcado como no conforme, AWS Config puede avisarle mediante un tema de Amazon Simple Notification Service (Amazon SNS). Para obtener más información, consulte Monitoreo de la configuración de la API de API Gateway con AWS Config.
- Utilizar AWS Security Hub
-
Monitoree el uso de API Gateway en relación con las mejores prácticas de seguridad con AWS Security Hub. Security Hub utiliza controles de seguridad para evaluar las configuraciones de los recursos y los estándares de seguridad para ayudarlo a cumplir con varios marcos de conformidad. Para obtener más información sobre el uso de Security Hub para evaluar los recursos de API Gateway, consulte Amazon API Gateway controls (Controles de Amazon API Gateway) en la Guía del usuario de AWS Security Hub.
