Bonnes pratiques de sécurité dans Amazon API Gateway

Utilisez des politiques IAM pour implémenter l’accès au moindre privilège pour la création, la lecture, la mise à jour ou la suppression d’API Amazon API Gateway. Pour en savoir plus, consultez la section Identity and Access Management pour Amazon API Gateway. API Gateway offre plusieurs options pour contrôler l’accès aux API que vous créez. Pour en savoir plus, consultez Contrôle et gestion de l’accès aux API REST dans API Gateway, Contrôler et gérer l'accès WebSocket APIs à API Gateway et Contrôlez l'accès au HTTP APIs avec les autorisateurs JWT dans API Gateway.

Utilisez CloudWatch Logs ou Amazon Data Firehose pour journaliser les demandes adressées à vos API. Pour en savoir plus, consultez Surveiller REST APIs dans API Gateway, Configuration de la journalisation WebSocket APIs dans API Gateway et Configuration de la journalisation pour HTTP APIs dans API Gateway.

Les alarmes Amazon CloudWatch permettent de surveiller une métrique unique sur une période de temps que vous spécifiez. Si la métrique dépasse un seuil donné, une notification est envoyée à une rubrique Amazon Simple Notification Service ou à une politique AWS Auto Scaling. Les alarmes CloudWatch n’appellent pas d’actions lorsqu’une métrique est dans un état particulier. L’état doit avoir changé et avoir été conservé pendant un nombre de périodes spécifié. Pour en savoir plus, consultez Surveillez l'exécution de l'API REST avec CloudWatch les métriques Amazon.

CloudTrail fournit un enregistrement des actions réalisées par un utilisateur, un rôle ou un service AWS dans API Gateway. Avec les informations collectées par CloudTrail, vous pouvez déterminer la demande qui a été envoyée à API Gateway, l’adresse IP à partir de laquelle la demande a été effectuée, l’auteur et la date de la demande, ainsi que d’autres détails. Pour en savoir plus, consultez Journalisation des appels d’API Amazon API Gateway à l’aide d’ AWS CloudTrail.

AWS Config fournit une vue détaillée de la configuration des ressources AWS de votre compte. Vous pouvez voir comment les ressources sont liées, obtenir un historique des changements de configuration, et voir comment les configurations et les relations changent au fil du temps. Vous pouvez utiliser AWS Config pour définir des règles qui évaluent les configurations de ressources pour assurer la conformité des données. Les règles AWS Config représentent les paramètres de configuration idéaux pour vos ressources API Gateway. Si une ressource enfreint une règle et est signalée comme non conforme, AWS Config peut vous avertir à l’aide d’une rubrique Amazon Simple Notification Service (Amazon SNS). Pour plus d’informations, consultez Surveillance de la configuration de l'API API Gateway avec AWS Config.

Surveillez votre utilisation d’API Gateway, car elle est liée aux bonnes pratiques de sécurité, en utilisant AWS Security Hub. Security Hub utilise des contrôles de sécurité pour évaluer les configurations des ressources et les normes de sécurité afin de vous aider à respecter divers cadres de conformité. Pour plus d’informations sur l’utilisation de Security Hub pour évaluer les ressources API Gateway, consultez Contrôles d’Amazon API Gateway dans le Guide de l’utilisateur AWS Security Hub.