Praktik terbaik keamanan di Amazon API Gateway - APIGerbang Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik keamanan di Amazon API Gateway

API Gateway menyediakan sejumlah fitur keamanan untuk dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai pertimbangan yang bermanfaat, bukan sebagai resep.

Terapkan akses hak akses paling rendah

Gunakan kebijakan IAM untuk menerapkan akses hak istimewa paling sedikit untuk membuat, membaca, memperbarui, atau menghapus API Gateway API. Untuk mempelajari selengkapnya, lihat Manajemen identitas dan akses untuk Amazon API Gateway. API Gateway menawarkan beberapa opsi untuk mengontrol akses ke API yang Anda buat. Untuk mempelajari lebih lanjut, lihatKontrol dan kelola akses ke REST API di API Gateway,Mengontrol dan mengelola akses ke WebSocket API di API Gateway, danKontrol akses HTTP APIs dengan JWT otorisasi di API Gateway.

Menerapkan logging

Gunakan CloudWatch Log atau Amazon Data Firehose untuk mencatat permintaan ke API Anda. Untuk mempelajari lebih lanjut, lihatPantau REST API di API Gateway,Konfigurasikan logging untuk WebSocket APIs di API Gateway, danKonfigurasikan logging untuk API HTTP di API Gateway.

Menerapkan CloudWatch alarm Amazon

Menggunakan CloudWatch alarm, Anda menonton satu metrik selama periode waktu yang Anda tentukan. Jika metrik melebihi ambang batas tertentu, pemberitahuan akan dikirim ke topik atau AWS Auto Scaling kebijakan Amazon Simple Notification Service. CloudWatch alarm tidak memanggil tindakan ketika metrik berada dalam keadaan tertentu. Sebaliknya, negara harus telah berubah dan dipertahankan untuk sejumlah periode tertentu. Untuk informasi selengkapnya, lihat Pantau REST API eksekusi dengan CloudWatch metrik Amazon.

Aktifkan AWS CloudTrail

CloudTrail menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan di API Gateway. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat ke API Gateway, alamat IP dari mana permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan. Untuk informasi selengkapnya, lihat Mencatat panggilan API Amazon API Gateway menggunakan AWS CloudTrail.

Aktifkan AWS Config

AWS Config memberikan tampilan terperinci tentang konfigurasi AWS sumber daya di akun Anda. Anda dapat melihat bagaimana sumber daya terkait, mendapatkan riwayat perubahan konfigurasi, dan melihat bagaimana hubungan dan konfigurasi berubah seiring waktu. Anda dapat menggunakan AWS Config untuk menentukan aturan yang mengevaluasi konfigurasi sumber daya untuk kepatuhan data. AWS Config aturan mewakili pengaturan konfigurasi ideal untuk sumber daya API Gateway Anda. Jika sumber daya melanggar aturan dan ditandai sebagai tidak sesuai, AWS Config Anda dapat memperingatkan Anda menggunakan topik Amazon Simple Notification Service (Amazon SNS). Untuk detailnya, lihat Memantau konfigurasi API Gateway API denganAWS Config.

Gunakan AWS Security Hub

Pantau penggunaan API Gateway yang berkaitan dengan praktik terbaik keamanan dengan menggunakan AWS Security Hub. Hub Keamanan menggunakan kontrol keamanan untuk mengevaluasi konfigurasi sumber daya dan standar keamanan guna membantu Anda mematuhi berbagai kerangka kerja kepatuhan. Untuk informasi selengkapnya tentang menggunakan Security Hub guna mengevaluasi resource API Gateway, lihat kontrol Amazon API Gateway di Panduan AWS Security Hub Pengguna.