Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pilih kebijakan keamanan untuk domain REST API kustom Anda di API Gateway
Untuk keamanan domain kustom Amazon API Gateway yang lebih baik, Anda dapat memilih kebijakan keamanan di konsol API Gateway, konsol AWS CLI, atau file AWS SDK.
Kebijakan keamanan adalah kombinasi standar dari TLS versi minimum dan cipher suite yang ditawarkan oleh Gateway. API Anda dapat memilih kebijakan keamanan TLS versi 1.2 atau TLS versi 1.0. TLSProtokol ini menangani masalah keamanan jaringan seperti gangguan dan penyadapan antara klien dan server. Ketika klien Anda membuat TLS jabat tangan untuk Anda API melalui domain kustom, kebijakan keamanan memberlakukan TLS versi dan pilihan cipher suite klien Anda dapat memilih untuk digunakan.
Dalam pengaturan domain kustom, kebijakan keamanan menentukan dua pengaturan:
-
TLSVersi minimum yang digunakan API Gateway untuk berkomunikasi dengan API klien
-
Cipher yang digunakan API Gateway untuk mengenkripsi konten yang dikembalikan ke klien API
Jika Anda memilih kebijakan keamanan TLS 1.0, kebijakan keamanan menerima lalu lintas TLS 1.0, TLS 1.2, dan TLS 1.3. Jika Anda memilih kebijakan keamanan TLS 1.2, kebijakan keamanan menerima lalu lintas TLS 1.2 dan TLS 1.3 dan menolak lalu lintas TLS 1.0.
catatan
Anda hanya dapat menentukan kebijakan keamanan untuk domain kustom. Untuk API menggunakan titik akhir default, API Gateway menggunakan kebijakan keamanan berikut:
Untuk tepi APIs yang dioptimalkan:
TLS-1-0
Untuk RegionalAPIs:
TLS-1-0
Untuk pribadiAPIs:
TLS-1-2
Cipher untuk setiap kebijakan keamanan dijelaskan dalam tabel berikut di halaman ini.
Topik
- Cara menentukan kebijakan keamanan untuk domain kustom
- Kebijakan keamanan, versi TLS protokol, dan cipher yang didukung untuk domain kustom yang dioptimalkan tepi
- Kebijakan keamanan, versi TLS protokol, dan cipher yang didukung untuk domain kustom Regional
- Versi TLS protokol dan cipher yang didukung untuk pribadi APIs
- Buka SSL dan RFC nama sandi
- Informasi tentang HTTP APIs dan WebSocket APIs
Cara menentukan kebijakan keamanan untuk domain kustom
Saat Anda membuat nama domain kustom, Anda menentukan kebijakan keamanan untuk itu. Untuk mempelajari cara membuat domain kustom, lihat Siapkan nama domain kustom yang dioptimalkan tepi di Gateway API atauSiapkan nama domain kustom Regional di API Gateway.
Untuk mengubah kebijakan keamanan nama domain kustom Anda, perbarui pengaturan domain kustom. Anda dapat memperbarui pengaturan nama domain kustom Anda menggunakan AWS Management Console, file AWS CLI, atau file AWS SDK.
Saat Anda menggunakan API Gateway REST API atau AWS CLI, tentukan TLS versi baru, TLS_1_0
atau TLS_1_2
dalam securityPolicy
parameter. Untuk informasi selengkapnya, lihat domainname:update di Referensi APIAmazon REST API Gateway atau di Referensi update-domain-name.AWS CLI
Operasi pembaruan mungkin memakan waktu beberapa menit untuk diselesaikan.
Kebijakan keamanan, versi TLS protokol, dan cipher yang didukung untuk domain kustom yang dioptimalkan tepi
Tabel berikut menjelaskan kebijakan keamanan yang dapat ditentukan untuk nama domain kustom yang dioptimalkan tepi.
TLSprotokol |
TLS_1_0 kebijakan keamanan |
TLS_1_2 kebijakan keamanan |
---|---|---|
TLSv1.3 | ||
TLSv1.2 | ||
TLSv1.1 | ||
TLSv1 |
Tabel berikut menjelaskan TLS cipher yang tersedia untuk setiap kebijakan keamanan.
TLScipher |
TLS_1_0 kebijakan keamanan |
TLS_1_2 kebijakan keamanan |
---|---|---|
TLS_ AES GCM _128_ _ SHA256 | ||
TLS_ AES GCM _256_ _ SHA384 | ||
TLS_ CHACHA2 0_ 05_ POLY13 SHA256 | ||
ECDHE-ECDSA-AES128-GCM-SHA256 | ||
ECDHE-ECDSA-AES128-SHA256 | ||
ECDHE-ECDSA-AES128-SHA | ||
ECDHE-ECDSA-AES256-GCM-SHA384 | ||
ECDHE- ECDSA - CHACHA2 0- POLY13 05 | ||
ECDHE-ECDSA-AES256-SHA384 | ||
ECDHE-ECDSA-AES256-SHA | ||
ECDHE-RSA-AES128-GCM-SHA256 | ||
ECDHE-RSA-AES128-SHA256 | ||
ECDHE-RSA-AES128-SHA | ||
ECDHE-RSA-AES256-GCM-SHA384 | ||
ECDHE- RSA - CHACHA2 0- POLY13 05 | ||
ECDHE-RSA-AES256-SHA384 | ||
ECDHE-RSA-AES256-SHA | ||
AES128-GCM-SHA256 | ||
AES256-GCM-SHA384 | ||
AES128-SHA256 | ||
AES256-SHA | ||
AES128-SHA | ||
DES-CBC3-SHA |
Kebijakan keamanan, versi TLS protokol, dan cipher yang didukung untuk domain kustom Regional
Tabel berikut menjelaskan kebijakan keamanan untuk nama domain kustom Regional.
TLSprotokol |
TLS_1_0 kebijakan keamanan |
TLS_1_2 kebijakan keamanan |
---|---|---|
TLSv1.3 |
||
TLSv1.2 |
||
TLSv1.1 |
||
TLSv1 |
Tabel berikut menjelaskan TLS cipher yang tersedia untuk setiap kebijakan keamanan.
TLScipher |
TLS_1_0 kebijakan keamanan |
TLS_1_2 kebijakan keamanan |
---|---|---|
TLS_ AES GCM _128_ _ SHA256 |
||
TLS_ AES GCM _256_ _ SHA384 |
||
TLS_ CHACHA2 0_ 05_ POLY13 SHA256 |
||
ECDHE-ECDSA-AES128-GCM-SHA256 |
||
ECDHE-RSA-AES128-GCM-SHA256 |
||
ECDHE-ECDSA-AES128-SHA256 |
||
ECDHE-RSA-AES128-SHA256 |
||
ECDHE-ECDSA-AES128-SHA |
||
ECDHE-RSA-AES128-SHA |
||
ECDHE-ECDSA-AES256-GCM-SHA384 |
||
ECDHE-RSA-AES256-GCM-SHA384 |
||
ECDHE-ECDSA-AES256-SHA384 |
||
ECDHE-RSA-AES256-SHA384 |
||
ECDHE-RSA-AES256-SHA |
||
ECDHE-ECDSA-AES256-SHA |
||
AES128-GCM-SHA256 |
||
AES128-SHA256 |
||
AES128-SHA |
||
AES256-GCM-SHA384 |
||
AES256-SHA256 |
||
AES256-SHA |
Versi TLS protokol dan cipher yang didukung untuk pribadi APIs
Tabel berikut menjelaskan TLS protokol yang didukung untuk pribadi. APIs Menentukan kebijakan keamanan untuk pribadi APIs tidak didukung.
TLSprotokol |
TLS_1_2 kebijakan keamanan |
---|---|
TLSv1.2 |
Tabel berikut menjelaskan TLS cipher yang tersedia untuk kebijakan TLS_1_2
keamanan untuk APIs privat. setiap kebijakan keamanan.
TLScipher |
TLS_1_2 kebijakan keamanan |
---|---|
ECDHE-ECDSA-AES128-GCM-SHA256 |
|
ECDHE-RSA-AES128-GCM-SHA256 |
|
ECDHE-ECDSA-AES128-SHA256 |
|
ECDHE-RSA-AES128-SHA256 |
|
ECDHE-ECDSA-AES256-GCM-SHA384 | |
ECDHE-RSA-AES256-GCM-SHA384 | |
ECDHE-ECDSA-AES256-SHA384 | |
ECDHE-RSA-AES256-SHA384 | |
AES128-GCM-SHA256 | |
AES128-SHA256 | |
AES256-GCM-SHA384 | |
AES256-SHA256 |
Buka SSL dan RFC nama sandi
Buka SSL dan IETF RFC 5246 menggunakan nama yang berbeda untuk cipher yang sama. Tabel berikut memetakan SSL nama Open ke RFC nama untuk setiap cipher.
Buka SSL nama sandi |
RFCnama sandi |
---|---|
TLS_ AES GCM _128_ _ SHA256 |
TLS_ AES GCM _128_ _ SHA256 |
TLS_ AES GCM _256_ _ SHA384 |
TLS_ AES GCM _256_ _ SHA384 |
TLS_ CHACHA2 0_ 05_ POLY13 SHA256 |
TLS_ CHACHA2 0_ 05_ POLY13 SHA256 |
ECDHE-RSA-AES128-GCM-SHA256 |
TLS_ _ ECDHE _ RSA WITH _ AES GCM _128_ _ SHA256 |
ECDHE-RSA-AES128-SHA256 |
TLS_ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA256 |
ECDHE-RSA-AES128-SHA |
TLS_ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA |
ECDHE-RSA-AES256-GCM-SHA384 |
TLS_ _ ECDHE _ RSA WITH _ AES GCM _256_ _ SHA384 |
ECDHE-RSA-AES256-SHA384 |
TLS_ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA384 |
ECDHE-RSA-AES256-SHA |
TLS_ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA |
AES128-GCM-SHA256 |
TLS_ _ RSA WITH _ AES GCM _128_ _ SHA256 |
AES256-GCM-SHA384 |
TLS_ _ RSA WITH _ AES GCM _256_ _ SHA384 |
AES128-SHA256 |
TLS_ _ RSA WITH _ AES CBC _128_ _ SHA256 |
AES256-SHA |
TLS_ _ RSA WITH _ AES CBC _256_ _ SHA |
AES128-SHA |
TLS_ _ RSA WITH _ AES CBC _128_ _ SHA |
DES-CBC3-SHA |
TLS_ RSA _ _ WITH _ _ DES _ _ EDE _ CBC SHA |
Informasi tentang HTTP APIs dan WebSocket APIs
Untuk informasi lebih lanjut tentang HTTP APIs dan WebSocket APIs, lihat Kebijakan keamanan untuk HTTP APIs di API Gateway danKebijakan keamanan untuk WebSocket APIs di API Gateway.