Utiliser des politiques de VPC point de terminaison pour APIs la confidentialité dans API Gateway - APIPasserelle Amazon
VPCconsidérations relatives aux politiques relatives aux terminauxVPCexemples de politiques relatives aux terminauxExemple 1 : politique de VPC point de terminaison accordant l'accès à deux APIsExemple 2 : politique de VPC point de terminaison accordant l'accès aux GET méthodesExemple 3 : politique de VPC point de terminaison accordant à un utilisateur spécifique l'accès à un API

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser des politiques de VPC point de terminaison pour APIs la confidentialité dans API Gateway

Pour améliorer la sécurité de votre vie privéeAPI, vous pouvez créer une politique de point de VPC terminaison. Une politique de VPC point de terminaison est une politique de IAM ressources que vous attachez à un VPC point de terminaison. Pour plus d'informations, consultez la section Contrôle de l'accès aux services à l'aide de VPC points de terminaison.

Vous souhaiterez peut-être créer une politique de VPC point de terminaison pour effectuer les tâches suivantes.

  • Autorisez uniquement certaines organisations ou ressources à accéder à votre VPC point de terminaison et à invoquer votreAPI.

  • Utilisez une politique unique et évitez les politiques basées sur les sessions ou les rôles pour contrôler le trafic vers votre. API

  • Resserrez le périmètre de sécurité de votre application lors de la migration d'une application sur site vers AWS.

VPCconsidérations relatives aux politiques relatives aux terminaux

Vous trouverez ci-dessous des éléments à prendre en compte pour votre politique relative aux VPC terminaux.

  • L'identité de l'invocateur est évaluée en fonction de la valeur de l'en-tête Authorization. Selon votre authorizationType, cela peut entraîner une erreur 403 IncompleteSignatureException ou une erreur 403 InvalidSignatureException. Le tableau suivant affiche les valeurs d'en-tête Authorization pour chaque authorizationType.

    authorizationType

    Authorizationen-tête évalué ?

    Valeurs Authorization d'en-tête autorisées
    NONE avec la stratégie d'accès complet par défaut Non Non validé
    NONE avec une stratégie d'accès personnalisée Oui Doit être une valeur SigV4 valide
    IAM Oui Doit être une valeur SigV4 valide
    CUSTOM ou COGNITO_USER_POOLS Non Non validé

  • Si une politique restreint l'accès à un IAM principal spécifique, par exemplearn:aws:iam::account-id:role/developer, vous devez définir la méthode authorizationType API de votre choix sur AWS_IAM ouNONE. Pour plus d'instructions sur la façon de définir le authorizationType pour une méthode, consultezMéthodes pour REST APIs in API Gateway.

  • VPCles politiques de point de terminaison peuvent être utilisées conjointement avec les politiques de ressources de API passerelle. La politique de ressources de la API passerelle indique quels principaux peuvent accéder auAPI. La politique du point de terminaison précise qui peut accéder au point de terminaison VPC et qui APIs peut être appelé à partir du VPC point de terminaison. Votre espace privé API a besoin d'une politique de ressources, mais vous n'avez pas besoin de créer une politique de point de VPC terminaison personnalisée.

VPCexemples de politiques relatives aux terminaux

Vous pouvez créer des politiques pour les points de terminaison Amazon Virtual Private Cloud pour Amazon API Gateway dans lesquelles vous pouvez spécifier les éléments suivants.

  • Le principal qui peut exécuter des actions.

  • Les actions qui peuvent être effectuées.

  • Les ressources qui peuvent avoir des actions exécutées sur elles.

Pour associer la politique au VPC point de terminaison, vous devez utiliser la VPC console. Pour plus d'informations, consultez la section Contrôle de l'accès aux services à l'aide de VPC points de terminaison.

Exemple 1 : politique de VPC point de terminaison accordant l'accès à deux APIs

L'exemple de politique suivant n'accorde l'accès qu'à deux points spécifiques APIs via le VPC point de terminaison auquel la politique est attachée.

{
    "Statement": [
        {
            "Principal": "*",
            "Action": [
                "execute-api:Invoke"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/*",
                "arn:aws:execute-api:us-east-1:123412341234:aaaaa11111/*"
            ]
        }
    ]
}

Exemple 2 : politique de VPC point de terminaison accordant l'accès aux GET méthodes

L'exemple de politique suivant accorde aux utilisateurs l'accès aux GET méthodes d'un point de VPC terminaison spécifique API via le point de terminaison auquel la politique est attachée.

{
    "Statement": [
        {
            "Principal": "*",
            "Action": [
                "execute-api:Invoke"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/stageName/GET/*"
            ]
        }
    ]
}

Exemple 3 : politique de VPC point de terminaison accordant à un utilisateur spécifique l'accès à un API

L'exemple de politique suivant accorde à un utilisateur spécifique l'accès à un point de VPC terminaison spécifique API via le point de terminaison auquel la politique est attachée.

Dans ce cas, étant donné que la politique restreint l'accès à IAM des principes spécifiques, vous devez définir authorizationType la méthode sur ou. AWS_IAM NONE

{
    "Statement": [
        {
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123412341234:user/MyUser"
                ]
            },
            "Action": [
                "execute-api:Invoke"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/*"
            ]
        }
    ]
}