Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Choisissez une politique de sécurité pour votre domaine REST API personnalisé dans API Gateway
Pour renforcer la sécurité de votre domaine personnalisé Amazon API Gateway, vous pouvez choisir une politique de sécurité dans la console API Gateway AWS CLI, le ou un AWS SDK.
Une politique de sécurité est une combinaison prédéfinie de TLS version minimale et de suites de chiffrement proposées par API Gateway. Vous pouvez choisir une politique de sécurité TLS TLS version 1.2 ou version 1.0. Le TLS protocole résout les problèmes de sécurité du réseau tels que la falsification et l'écoute entre un client et un serveur. Lorsque vos clients vous TLS contactent API via le domaine personnalisé, la politique de sécurité applique les options de TLS version et de suite de chiffrement que vos clients peuvent choisir d'utiliser.
Dans les paramètres de domaine personnalisé, une stratégie de sécurité détermine deux paramètres :
-
TLSVersion minimale utilisée par API Gateway pour communiquer avec les API clients
-
Chiffre utilisé par API Gateway pour chiffrer le contenu qu'il renvoie aux clients API
Si vous choisissez une politique de sécurité TLS 1.0, celle-ci accepte le trafic TLS 1.0, TLS 1.2 et TLS 1.3. Si vous choisissez une politique de sécurité TLS 1.2, celle-ci accepte le trafic TLS 1.2 et TLS 1.3 et rejette le trafic TLS 1.0.
Note
Vous ne pouvez définir une politique de sécurité que pour un domaine personnalisé. Si vous API utilisez un point de terminaison par défaut, API Gateway applique la politique de sécurité suivante :
Pour une optimisation des bords : APIs
TLS-1-0Pour les régions APIs :
TLS-1-0Pour les particuliers APIs :
TLS-1-2
Les chiffrements de chaque politique de sécurité sont décrits dans les tableaux suivants de cette page.
Rubriques
- Comment définir une politique de sécurité pour les domaines personnalisés
- Politiques de sécurité, versions de TLS protocole et chiffrements pris en charge pour les domaines personnalisés optimisés pour les périphériques
- Politiques de sécurité, versions de TLS protocole et chiffrements pris en charge pour les domaines personnalisés régionaux
- Versions de TLS protocole et chiffrements pris en charge pour le secteur privé APIs
- Noms ouverts SSL et RFC chiffrés
- Informations sur HTTP APIs et WebSocket APIs
Comment définir une politique de sécurité pour les domaines personnalisés
Lorsque vous créez un nom de domaine personnalisé, vous spécifiez sa politique de sécurité. Pour savoir comment créer un domaine personnalisé, consultez Configurer un nom de domaine personnalisé optimisé pour les périphériques dans Gateway API ouConfigurer un nom de domaine personnalisé régional dans API Gateway.
Pour modifier la politique de sécurité de votre nom de domaine personnalisé, mettez à jour les paramètres de domaine personnalisés. Vous pouvez mettre à jour les paramètres de votre nom de domaine personnalisé en utilisant le AWS Management Console AWS CLI, le ou un AWS SDK.
Lorsque vous utilisez la API passerelle REST API AWS CLI, spécifiez la nouvelle TLS version TLS_1_0 ou TLS_1_2 dans le securityPolicy paramètre. Pour plus d'informations, consultez domainname:update dans la référence Amazon API Gateway ou update-domain-namedans la REST API référence.AWS CLI
L'opération de mise à jour peut prendre quelques minutes.
Politiques de sécurité, versions de TLS protocole et chiffrements pris en charge pour les domaines personnalisés optimisés pour les périphériques
Le tableau suivant décrit les politiques de sécurité qui peuvent être spécifiées pour les noms de domaine personnalisés optimisés pour les périphériques.
TLSprotocoles |
TLS_1_0 politique de sécurité |
TLS_1_2 politique de sécurité |
|---|---|---|
| TLSv13. | ||
| TLSv12. | ||
| TLSv11. | ||
| TLSv1 |
Le tableau suivant décrit les TLS chiffrements disponibles pour chaque politique de sécurité.
TLSchiffrements |
TLS_1_0 politique de sécurité |
TLS_1_2 politique de sécurité |
|---|---|---|
| TLS_ AES GCM _128_ _ SHA256 | ||
| TLS_ AES GCM _256_ _ SHA384 | ||
| TLS_ CHACHA2 0_ 05_ POLY13 SHA256 | ||
| ECDHE-ECDSA-AES128-GCM-SHA256 | ||
| ECDHE-ECDSA-AES128-SHA256 | ||
| ECDHE-ECDSA-AES128-SHA | ||
| ECDHE-ECDSA-AES256-GCM-SHA384 | ||
| ECDHE- ECDSA - CHACHA2 0- POLY13 05 | ||
| ECDHE-ECDSA-AES256-SHA384 | ||
| ECDHE-ECDSA-AES256-SHA | ||
| ECDHE-RSA-AES128-GCM-SHA256 | ||
| ECDHE-RSA-AES128-SHA256 | ||
| ECDHE-RSA-AES128-SHA | ||
| ECDHE-RSA-AES256-GCM-SHA384 | ||
| ECDHE- RSA - CHACHA2 0- POLY13 05 | ||
| ECDHE-RSA-AES256-SHA384 | ||
| ECDHE-RSA-AES256-SHA | ||
| AES128-GCM-SHA256 | ||
| AES256-GCM-SHA384 | ||
| AES128-SHA256 | ||
| AES256-SHA | ||
| AES128-SHA | ||
| DES-CBC3-SHA |
Politiques de sécurité, versions de TLS protocole et chiffrements pris en charge pour les domaines personnalisés régionaux
Le tableau suivant décrit les politiques de sécurité pour les noms de domaine personnalisés régionaux.
TLSprotocoles |
TLS_1_0 politique de sécurité |
TLS_1_2 politique de sécurité |
|---|---|---|
TLSv13. |
||
TLSv12. |
||
TLSv11. |
||
TLSv1 |
Le tableau suivant décrit les TLS chiffrements disponibles pour chaque politique de sécurité.
TLSchiffrements |
TLS_1_0 politique de sécurité |
TLS_1_2 politique de sécurité |
|---|---|---|
TLS_ AES GCM _128_ _ SHA256 |
||
TLS_ AES GCM _256_ _ SHA384 |
||
TLS_ CHACHA2 0_ 05_ POLY13 SHA256 |
||
ECDHE-ECDSA-AES128-GCM-SHA256 |
||
ECDHE-RSA-AES128-GCM-SHA256 |
||
ECDHE-ECDSA-AES128-SHA256 |
||
ECDHE-RSA-AES128-SHA256 |
||
ECDHE-ECDSA-AES128-SHA |
||
ECDHE-RSA-AES128-SHA |
||
ECDHE-ECDSA-AES256-GCM-SHA384 |
||
ECDHE-RSA-AES256-GCM-SHA384 |
||
ECDHE-ECDSA-AES256-SHA384 |
||
ECDHE-RSA-AES256-SHA384 |
||
ECDHE-RSA-AES256-SHA |
||
ECDHE-ECDSA-AES256-SHA |
||
AES128-GCM-SHA256 |
||
AES128-SHA256 |
||
AES128-SHA |
||
AES256-GCM-SHA384 |
||
AES256-SHA256 |
||
AES256-SHA |
Versions de TLS protocole et chiffrements pris en charge pour le secteur privé APIs
Le tableau suivant décrit les TLS protocoles pris en charge pour le mode privéAPIs. La spécification d'une politique de sécurité pour le mode privé n'APIsest pas prise en charge.
TLSprotocoles |
TLS_1_2 politique de sécurité |
|---|---|
TLSv12. |
Le tableau suivant décrit les TLS chiffrements disponibles pour la politique de TLS_1_2 sécurité pour chaque politique de sécurité privéeAPIs.
TLSchiffrements |
TLS_1_2 politique de sécurité |
|---|---|
ECDHE-ECDSA-AES128-GCM-SHA256 |
|
ECDHE-RSA-AES128-GCM-SHA256 |
|
ECDHE-ECDSA-AES128-SHA256 |
|
ECDHE-RSA-AES128-SHA256 |
|
| ECDHE-ECDSA-AES256-GCM-SHA384 | |
| ECDHE-RSA-AES256-GCM-SHA384 | |
| ECDHE-ECDSA-AES256-SHA384 | |
| ECDHE-RSA-AES256-SHA384 | |
| AES128-GCM-SHA256 | |
| AES128-SHA256 | |
| AES256-GCM-SHA384 | |
| AES256-SHA256 |
Noms ouverts SSL et RFC chiffrés
Open SSL et IETF RFC 5246 utilisent des noms différents pour les mêmes chiffrements. Le tableau suivant associe le SSL nom Open au RFC nom de chaque chiffrement.
Ouvrir le SSL nom du chiffrement |
RFCnom chiffré |
|---|---|
TLS_ AES GCM _128_ _ SHA256 |
TLS_ AES GCM _128_ _ SHA256 |
TLS_ AES GCM _256_ _ SHA384 |
TLS_ AES GCM _256_ _ SHA384 |
TLS_ CHACHA2 0_ 05_ POLY13 SHA256 |
TLS_ CHACHA2 0_ 05_ POLY13 SHA256 |
ECDHE-RSA-AES128-GCM-SHA256 |
TLS_ ECDHE _ _ RSA WITH _ AES GCM _128_ _ SHA256 |
ECDHE-RSA-AES128-SHA256 |
TLS_ ECDHE _ _ RSA WITH _ AES CBC _128_ _ SHA256 |
ECDHE-RSA-AES128-SHA |
TLS_ ECDHE _ _ RSA WITH _ AES CBC _128_ _ SHA |
ECDHE-RSA-AES256-GCM-SHA384 |
TLS_ ECDHE _ _ RSA WITH _ AES GCM _256_ _ SHA384 |
ECDHE-RSA-AES256-SHA384 |
TLS_ ECDHE _ _ RSA WITH _ AES CBC _256_ _ SHA384 |
ECDHE-RSA-AES256-SHA |
TLS_ ECDHE _ _ RSA WITH _ AES CBC _256_ _ SHA |
AES128-GCM-SHA256 |
TLS_ _ RSA WITH _ AES GCM _128_ _ SHA256 |
AES256-GCM-SHA384 |
TLS_ _ RSA WITH _ AES GCM _256_ _ SHA384 |
AES128-SHA256 |
TLS_ _ RSA WITH _ AES CBC _128_ _ SHA256 |
AES256-SHA |
TLS_ _ RSA WITH _ AES CBC _256_ _ SHA |
AES128-SHA |
TLS_ _ RSA WITH _ AES CBC _128_ _ SHA |
DES-CBC3-SHA |
TLS_ RSA _ WITH _3 DES _ _ EDE _ CBC SHA |
Informations sur HTTP APIs et WebSocket APIs
Pour plus d'informations sur HTTP APIs et WebSocket APIs, consultez Politique de sécurité pour HTTP APIs in API Gateway etPolitique de sécurité pour WebSocket APIs in API Gateway.
