REST privé APIs dans API Gateway - Amazon API Gateway
Bonnes pratiques pour le secteur privé APIsConsidérations relatives au secteur privé APIsProchaines étapes pour le secteur privé APIs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

REST privé APIs dans API Gateway

Une API privée est une API REST qui ne peut être appelée que d’un VPC Amazon. Vous pouvez accéder à votre API à l’aide d’un point de terminaison de VPC d’interface, qui est une interface réseau de point de terminaison que vous créez dans votre VPC. Les points de terminaison d'interface sont alimentés par AWS PrivateLink, une technologie qui vous permet d'accéder à des AWS services de manière privée à l'aide d'adresses IP privées.

Vous pouvez également l'utiliser AWS Direct Connect pour établir une connexion entre un réseau local et Amazon VPC, puis accéder à votre API privée via cette connexion. Dans tous les cas, le trafic à destination de votre API privée utilise des connexions sécurisées et est isolé de l’Internet public. Le trafic ne quitte pas le réseau Amazon.

Bonnes pratiques pour le secteur privé APIs

Nous vous recommandons d’utiliser les bonnes pratiques ci-dessous lorsque vous créez votre API privée.

  • Utilisez un seul point de terminaison VPC pour accéder à plusieurs terminaux privés. APIs Cela permet de réduire le nombre de points de terminaison de VPC dont vous pourriez avoir besoin.

  • Associez votre point de terminaison de VPC à votre API. Cela permet de créer un enregistrement DNS d’alias Route 53 et de simplifier l’invocation de votre API privée.

  • Activez le DNS privé pour votre VPC. Lorsque vous activez le DNS privé pour votre VPC, vous pouvez invoquer votre API au sein d’un VPC sans transmettre l’en-tête Host ou x-apigw-api-id.

    Si vous activez le DNS privé, vous ne pouvez pas accéder au point de terminaison par défaut pour le domaine public APIs. Pour accéder au point de terminaison par défaut pour le public APIs, vous pouvez désactiver le DNS privé, créer une zone hébergée privée pour chaque API privée de votre VPC, puis provisionner les enregistrements requis dans Route 53. Cela permet de résoudre votre API privée et de continuer à invoquer le point de terminaison public par défaut de votre VPC. Pour plus d’informations, consultez Création d’une zone hébergée privée.

  • Limitez l'accès à votre API privée à des points de VPCs terminaison spécifiques ou VPC. Ajoutez la condition aws:SourceVpc ou aws:SourceVpce à la politique de ressources de votre API pour restreindre l’accès.

  • Pour sécuriser au maximum le périmètre de données, vous pouvez créer une politique de point de terminaison de VPC. Cela permet de contrôler l’accès aux points de terminaison de VPC qui peuvent invoquer votre API privée.

Considérations relatives au secteur privé APIs

Les considérations suivantes peuvent avoir un impact sur votre utilisation de la confidentialité APIs.

  • Seul le protocole REST APIs est pris en charge.

  • Vous ne pouvez pas convertir une API privée en une API optimisée pour la périphérie.

  • Le mode privé APIs ne prend en charge que le protocole TLS 1.2. Les versions antérieures de TLS ne sont pas prises en charge.

  • Si vous faites une demande à l'aide du protocole HTTP/2, elle est forcée d'utiliser le protocole HTTP/1.1.

  • Vous pouvez envoyer du trafic en utilisant tous les types d’adresses IP pris en charge par Amazon VPC. Vous pouvez envoyer du IPv6 trafic et du double stack en configurant les paramètres de votre point de terminaison VPC. Vous ne pouvez pas le modifier à l’aide d’API Gateway. Pour plus d'informations, consultez Ajouter un IPv6 support pour votre VPC.

  • Les points de terminaison VPC pour le secteur privé APIs sont soumis aux mêmes limitations que les autres points de terminaison VPC d'interface. Pour plus d'informations, consultez la section Accès à un AWS service à l'aide d'un point de terminaison VPC d'interface dans le AWS PrivateLink Guide. Pour plus d'informations sur l'utilisation d'API Gateway avec des sous-réseaux partagés VPCs et partagés, consultez la section Sous-réseaux partagés du AWS PrivateLink Guide.

Prochaines étapes pour le secteur privé APIs

Pour découvrir comment créer une API privée et associer un point de terminaison de VPC, consultez Création d’une API privée. Pour suivre un didacticiel dans lequel vous créez des dépendances AWS CloudFormation et une API privée dans le AWS Management Console, voirDidacticiel : création d’une API REST privée.