Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Pour renforcer la sécurité de votre domaine personnalisé Amazon API Gateway, vous pouvez choisir une politique de sécurité dans la console API Gateway, dans le AWS CLI ou dans un AWS SDK.
Une politique de sécurité est une combinaison prédéfinie d’une version minimale du protocole TLS et de suites de chiffrement offertes par API Gateway. Vous pouvez choisir une politique de sécurité TLS version 1.2 ou TLS version 1.0. Le protocole TLS résout les problèmes de sécurité de réseau tels que la falsification et le risque d’écoute illicite entre un client et un serveur. Lorsque vos clients établissent une liaison TLS vers votre API via le domaine personnalisé, la politique de sécurité applique les options de version TLS et de suite de chiffrement que vos clients peuvent choisir d’utiliser.
Dans les paramètres de domaine personnalisé, une politique de sécurité détermine deux paramètres :
-
Version minimale du protocole TLS utilisée par API Gateway pour communiquer avec des clients d’API
-
Le chiffrement utilisé par API Gateway pour chiffrer le contenu renvoyé aux clients d’API
Si vous choisissez une politique de sécurité TLS 1.0, la politique de sécurité accepte le trafic TLS 1.0, TLS 1.2 et TLS 1.3. Si vous choisissez une politique de sécurité TLS 1.2, celle-ci accepte le trafic TLS 1.2 et TLS 1.3 et rejette le trafic TLS 1.0.
Note
Vous ne pouvez spécifier une politique de sécurité que pour un domaine personnalisé. Pour une API utilisant un point de terminaison par défaut, API Gateway applique la politique de sécurité suivante :
Pour une optimisation des bords : APIs
TLS-1-0Pour les régions APIs :
TLS-1-0Pour les particuliers APIs :
TLS-1-2
Les chiffrements de chaque politique de sécurité sont décrits dans les tableaux suivants de cette page.
Rubriques
Spécification d’une politique de sécurité pour des domaines personnalisés
Lorsque vous créez un domaine personnalisé, vous devez spécifier sa politique de sécurité. Pour découvrir comment créer un nom de domaine personnalisé, consultez Configuration d’un nom de domaine personnalisé optimisé pour la périphérie dans API Gateway ou Configuration d’un nom de domaine personnalisé régional dans API Gateway.
Pour modifier la politique de sécurité de votre nom de domaine personnalisé, mettez à jour les paramètres du domaine personnalisé. Vous pouvez mettre à jour vos paramètres de nom de domaine personnalisés à l'aide du AWS Management Console AWS CLI, du ou d'un AWS SDK.
Lorsque vous utilisez l’API REST API Gateway ou AWS CLI, spécifiez la nouvelle version TLS, TLS_1_0 ou TLS_1_2, dans le paramètre securityPolicy. Pour plus d'informations, consultez domainname:update dans le manuel Amazon API Gateway REST API Gateway ou update-domain-namedans le document de référence.AWS CLI
La mise à jour peut prendre quelques minutes.
Politiques de sécurité, versions des protocoles TLS et chiffrements pris en charge pour les domaines personnalisés optimisés pour la périphérie
Le tableau suivant décrit les politiques de sécurité pouvant être spécifiées pour des noms de domaine personnalisés optimisés pour la périphérie.
Protocoles TLS |
Politique de sécurité TLS_1_0 |
Politique de sécurité TLS_1_2 |
|---|---|---|
| TLSv13. | ||
| TLSv12. | ||
| TLSv11. | ||
| TLSv1 |
Le tableau suivant décrit les chiffrements TLS disponibles pour chaque politique de sécurité.
Chiffrements TLS |
Politique de sécurité TLS_1_0 |
Politique de sécurité TLS_1_2 |
|---|---|---|
| TLS_AES_128_GCM_ SHA256 | ||
| TLS_AES_256_GCM_ SHA384 | ||
| TLS_ 0_ 05_ CHACHA2 POLY13 SHA256 | ||
| ECDHE-ECDSA- -GCM- AES128 SHA256 | ||
| ECDHE-ECDSA- - AES128 SHA256 | ||
| ECDHE-ECDSA- -SHA AES128 | ||
| ECDHE-ECDSA- -GCM- AES256 SHA384 | ||
| ECDHE-ECDSA- 0- 05 CHACHA2 POLY13 | ||
| ECDHE-ECDSA- - AES256 SHA384 | ||
| ECDHE-ECDSA- -SHA AES256 | ||
| ECDHE-RSA- -GCM- AES128 SHA256 | ||
| ECDHE-RSA- - AES128 SHA256 | ||
| ECDHE-RSA- -SHA AES128 | ||
| ECDHE-RSA- -GCM- AES256 SHA384 | ||
| ECDHE-RSA- 0- 05 CHACHA2 POLY13 | ||
| ECDHE-RSA- - AES256 SHA384 | ||
| ECDHE-RSA- -SHA AES256 | ||
| AES128-GCM- SHA256 | ||
| AES256-GCM- SHA384 | ||
| AES128-SHA256 | ||
| AES256-SHA | ||
| AES128-SHA | ||
| CBC3DES-SHA |
Politiques de sécurité, versions des protocoles TLS et chiffrements pris en charge pour les domaines personnalisés régionaux
Le tableau suivant décrit les politiques de sécurité pour les noms de domaine personnalisés régionaux.
Protocoles TLS |
Politique de sécurité TLS_1_0 |
Politique de sécurité TLS_1_2 |
|---|---|---|
TLSv13. |
||
TLSv12. |
||
TLSv11. |
||
TLSv1 |
Le tableau suivant décrit les chiffrements TLS disponibles pour chaque politique de sécurité.
Chiffrements TLS |
Politique de sécurité TLS_1_0 |
Politique de sécurité TLS_1_2 |
|---|---|---|
TLS_AES_128_GCM_ SHA256 |
||
TLS_AES_256_GCM_ SHA384 |
||
TLS_ 0_ 05_ CHACHA2 POLY13 SHA256 |
||
ECDHE-ECDSA- -GCM- AES128 SHA256 |
||
ECDHE-RSA- -GCM- AES128 SHA256 |
||
ECDHE-ECDSA- - AES128 SHA256 |
||
ECDHE-RSA- - AES128 SHA256 |
||
ECDHE-ECDSA- -SHA AES128 |
||
ECDHE-RSA- -SHA AES128 |
||
ECDHE-ECDSA- -GCM- AES256 SHA384 |
||
ECDHE-RSA- -GCM- AES256 SHA384 |
||
ECDHE-ECDSA- - AES256 SHA384 |
||
ECDHE-RSA- - AES256 SHA384 |
||
ECDHE-RSA- -SHA AES256 |
||
ECDHE-ECDSA- -SHA AES256 |
||
AES128-GCM- SHA256 |
||
AES128-SHA256 |
||
AES128-SHA |
||
AES256-GCM- SHA384 |
||
AES256-SHA256 |
||
AES256-SHA |
Versions de protocole TLS et chiffrements pris en charge pour le secteur privé APIs
Le tableau suivant décrit les protocoles TLS pris en charge pour le mode privé APIs. La spécification d'une politique de sécurité pour le mode privé n' APIs est pas prise en charge.
Protocoles TLS |
Politique de sécurité TLS_1_2 |
|---|---|
TLSv12. |
Le tableau suivant décrit les chiffrements TLS disponibles pour la politique de TLS_1_2 sécurité privée. APIs
Chiffrements TLS |
Politique de sécurité TLS_1_2 |
|---|---|
ECDHE-ECDSA- -GCM- AES128 SHA256 |
|
ECDHE-RSA- -GCM- AES128 SHA256 |
|
ECDHE-ECDSA- - AES128 SHA256 |
|
ECDHE-RSA- - AES128 SHA256 |
|
| ECDHE-ECDSA- -GCM- AES256 SHA384 | |
| ECDHE-RSA- -GCM- AES256 SHA384 | |
| ECDHE-ECDSA- - AES256 SHA384 | |
| ECDHE-RSA- - AES256 SHA384 | |
| AES128-GCM- SHA256 | |
| AES128-SHA256 | |
| AES256-GCM- SHA384 | |
| AES256-SHA256 |
Noms de chiffrement OpenSSL et RFC
OpenSSL et IETF RFC 5246 utilisent des noms différents pour les mêmes chiffrements. Le tableau suivant met en correspondance le nom OpenSSL et le nom RFC pour chaque chiffrement.
Nom de chiffrement OpenSSL |
Nom de chiffrement RFC |
|---|---|
TLS_AES_128_GCM_ SHA256 |
TLS_AES_128_GCM_ SHA256 |
TLS_AES_256_GCM_ SHA384 |
TLS_AES_256_GCM_ SHA384 |
TLS_ 0_ 05_ CHACHA2 POLY13 SHA256 |
TLS_ 0_ 05_ CHACHA2 POLY13 SHA256 |
ECDHE-RSA- -GCM- AES128 SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_ SHA256 |
ECDHE-RSA- - AES128 SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA256 |
ECDHE-RSA- -SHA AES128 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
ECDHE-RSA- -GCM- AES256 SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_ SHA384 |
ECDHE-RSA- - AES256 SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA384 |
ECDHE-RSA- -SHA AES256 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
AES128-GCM- SHA256 |
TLS_RSA_WITH_AES_128_GCM_ SHA256 |
AES256-GCM- SHA384 |
TLS_RSA_WITH_AES_256_GCM_ SHA384 |
AES128-SHA256 |
TLS_RSA_WITH_AES_128_CBC_ SHA256 |
AES256-SHA |
TLS_RSA_WITH_AES_256_CBC_SHA |
AES128-SHA |
TLS_RSA_WITH_AES_128_CBC_SHA |
CBC3DES-SHA |
TLS_RSA_WITH_3DES_EDE_CBC_SHA |
Informations sur HTTP APIs et WebSocket APIs
Pour plus d'informations sur le protocole HTTP APIs et WebSocket APIs, consultez Politique de sécurité pour le protocole HTTP APIs dans API Gateway etPolitique de sécurité pour WebSocket APIs in API Gateway.
