VPCpertimbangan kebijakan endpoint VPCcontoh kebijakan titik akhir Contoh 1: kebijakan VPC endpoint yang memberikan akses ke dua APIs Contoh 2: kebijakan VPC titik akhir yang memberikan akses ke metode GET Contoh 3: kebijakan VPC titik akhir yang memberikan akses pengguna tertentu ke tertentu API

Gunakan kebijakan VPC titik akhir untuk pribadi APIs di API Gateway

Untuk meningkatkan keamanan pribadi AndaAPI, Anda dapat membuat kebijakan VPC endpoint. Kebijakan VPC endpoint adalah kebijakan IAM sumber daya yang Anda lampirkan ke titik VPC akhir. Untuk informasi selengkapnya, lihat Mengontrol Akses ke Layanan dengan VPC Titik Akhir.

Anda mungkin ingin membuat kebijakan VPC endpoint untuk melakukan tugas-tugas berikut.

Izinkan hanya organisasi atau sumber daya tertentu untuk mengakses VPC titik akhir Anda dan memanggil Anda. API
Gunakan satu kebijakan dan hindari kebijakan berbasis sesi atau berbasis peran untuk mengontrol lalu lintas ke Anda. API
Kencangkan perimeter keamanan aplikasi Anda saat bermigrasi dari tempat ke AWS lokasi.

VPCpertimbangan kebijakan endpoint

Berikut ini adalah pertimbangan untuk kebijakan VPC endpoint Anda.

Identitas invoker dievaluasi berdasarkan nilai Authorization header. Tergantung pada AndaauthorizationType, ini dapat menyebabkan kesalahan 403 IncompleteSignatureException atau 403 InvalidSignatureException kesalahan. Tabel berikut menunjukkan nilai Authorization header untuk masing-masingauthorizationType.

`authorizationType`	`Authorization`header dievaluasi?	Nilai `Authorization` header yang diizinkan
`NONE`dengan kebijakan akses penuh default	Tidak	Tidak lulus
`NONE`dengan kebijakan akses khusus	Ya	Harus berupa nilai SiGv4 yang valid
`IAM`	Ya	Harus berupa nilai SiGv4 yang valid
`CUSTOM` atau `COGNITO_USER_POOLS`	Tidak	Tidak lulus

Jika kebijakan membatasi akses ke IAM prinsipal tertentu, misalnyaarn:aws:iam::account-id:role/developer, Anda harus menetapkan authorizationType metode Anda API ke AWS_IAM atauNONE. Untuk petunjuk lebih lanjut tentang cara mengatur metode authorizationType untuk, lihatMetode untuk REST APIs di API Gateway.
VPCkebijakan endpoint dapat digunakan bersama dengan kebijakan sumber daya API Gateway. Kebijakan sumber daya API Gateway menentukan prinsipal mana yang dapat mengakses file. API Kebijakan endpoint menentukan siapa yang dapat mengakses VPC dan mana yang APIs dapat dipanggil dari titik akhir. VPC Pribadi Anda API memerlukan kebijakan sumber daya tetapi Anda tidak perlu membuat kebijakan VPC titik akhir kustom.

VPCcontoh kebijakan titik akhir

Anda dapat membuat kebijakan untuk titik akhir Amazon Virtual Private Cloud untuk Amazon API Gateway di mana Anda dapat menentukan yang berikut ini.

Prinsipal yang dapat melakukan tindakan.
Tindakan yang dapat dilakukan.
Sumber daya yang dapat memiliki tindakan yang dilakukan pada mereka.

Untuk melampirkan kebijakan ke VPC titik akhir, Anda harus menggunakan VPC konsol. Untuk informasi selengkapnya, lihat Mengontrol Akses ke Layanan dengan VPC Titik Akhir.

Contoh 1: kebijakan VPC endpoint yang memberikan akses ke dua APIs

Contoh kebijakan berikut memberikan akses ke hanya dua spesifik APIs melalui VPC titik akhir yang dilampirkan kebijakan tersebut.


{
    "Statement": [
        {
            "Principal": "*",
            "Action": [
                "execute-api:Invoke"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/*",
                "arn:aws:execute-api:us-east-1:123412341234:aaaaa11111/*"
            ]
        }
    ]
}

Contoh 2: kebijakan VPC titik akhir yang memberikan akses ke metode GET

Contoh kebijakan berikut memberi pengguna akses ke GET metode tertentu API melalui VPC titik akhir yang dilampirkan kebijakan tersebut.


{
    "Statement": [
        {
            "Principal": "*",
            "Action": [
                "execute-api:Invoke"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/stageName/GET/*"
            ]
        }
    ]
}

Contoh 3: kebijakan VPC titik akhir yang memberikan akses pengguna tertentu ke tertentu API

Contoh kebijakan berikut memberikan pengguna tertentu akses ke spesifik API melalui VPC titik akhir yang dilampirkan kebijakan tersebut.

Dalam hal ini, karena kebijakan membatasi akses ke IAM prinsipal tertentu, Anda harus menyetel metode ke authorizationType atau. AWS_IAM NONE


{
    "Statement": [
        {
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123412341234:user/MyUser"
                ]
            },
            "Action": [
                "execute-api:Invoke"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/*"
            ]
        }
    ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Membuat dan melampirkan kebijakan ke pengguna

Menggunakan tag untuk mengontrol akses ke REST API