Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Mengamankan beban kerja dengan titik akhir publik

PDF
RSS
Mode fokus
Mengamankan beban kerja dengan titik akhir publik - AWS Lambda
Autentikasi dan otorisasiMelindungi titik akhir API

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk beban kerja yang dapat diakses publik, AWS menyediakan sejumlah fitur dan layanan yang dapat membantu mengurangi risiko tertentu. Bagian ini mencakup otentikasi dan otorisasi pengguna aplikasi dan melindungi titik akhir API.

Autentikasi dan otorisasi

Otentikasi berkaitan dengan identitas dan otorisasi mengacu pada tindakan. Gunakan otentikasi untuk mengontrol siapa yang dapat menjalankan fungsi Lambda, dan kemudian gunakan otorisasi untuk mengontrol apa yang dapat mereka lakukan. Untuk banyak aplikasi, IAM cukup untuk mengelola kedua mekanisme kontrol.

Untuk aplikasi dengan pengguna eksternal, seperti aplikasi web atau seluler, biasanya menggunakan JSON Web Tokens (JWTs) untuk mengelola otentikasi dan otorisasi. Tidak seperti manajemen kata sandi berbasis server tradisional, JWTs diteruskan dari klien pada setiap permintaan. Mereka adalah cara yang aman secara kriptografis untuk memverifikasi identitas dan klaim menggunakan data yang diteruskan dari klien. Untuk aplikasi berbasis Lambda, ini memungkinkan Anda mengamankan setiap panggilan ke setiap titik akhir API tanpa bergantung pada server pusat untuk otentikasi.

Anda dapat menerapkan JWTs dengan Amazon Cognito, layanan direktori pengguna yang dapat menangani pendaftaran, otentikasi, pemulihan akun, dan operasi manajemen akun umum lainnya. Amplify Framework menyediakan library untuk menyederhanakan integrasi layanan ini ke dalam aplikasi frontend Anda. Anda juga dapat mempertimbangkan layanan mitra pihak ketiga seperti Auth0.

Mengingat peran keamanan penting dari layanan penyedia identitas, penting untuk menggunakan perkakas profesional untuk melindungi aplikasi Anda. Anda tidak disarankan untuk menulis layanan Anda sendiri untuk menangani otentikasi atau otorisasi. Kerentanan apa pun di pustaka khusus mungkin memiliki implikasi signifikan terhadap keamanan beban kerja Anda dan datanya.

Melindungi titik akhir API

Untuk aplikasi tanpa server, cara yang lebih disukai untuk melayani aplikasi backend secara publik adalah dengan menggunakan Amazon API Gateway. Ini dapat membantu Anda melindungi API dari pengguna jahat atau lonjakan lalu lintas.

API Gateway menawarkan dua tipe endpoint untuk pengembang tanpa server: REST APIs dan HTTP. APIs Keduanya mendukung otorisasi menggunakan AWS Lambda, IAM, atau Amazon Cognito. Saat menggunakan IAM atau Amazon Cognito, permintaan masuk dievaluasi dan jika tidak ada token yang diperlukan atau berisi otentikasi yang tidak valid, permintaan tersebut ditolak. Anda tidak dikenakan biaya untuk permintaan ini dan mereka tidak dihitung terhadap kuota pembatasan apa pun.

Rute API yang tidak diautentikasi dapat diakses oleh siapa saja di internet publik sehingga Anda disarankan untuk membatasi penggunaan yang tidak diautentikasi. APIs Jika Anda harus menggunakan yang tidak diautentikasi APIs, penting untuk melindungi ini dari risiko umum, seperti denial-of-serviceserangan (DoS). AWS WAF Menerapkan ini APIs dapat membantu melindungi aplikasi Anda dari injeksi SQL dan serangan cross-site scripting (XSS). API Gateway juga mengimplementasikan pembatasan pada tingkat AWS akun dan tingkat per klien saat kunci API digunakan.

Dalam banyak kasus, fungsionalitas yang disediakan oleh API yang tidak diautentikasi dapat dicapai dengan pendekatan alternatif. Misalnya, aplikasi web dapat menyediakan daftar toko ritel pelanggan dari tabel DynamoDB kepada pengguna yang tidak masuk. Permintaan ini mungkin berasal dari aplikasi web frontend atau dari sumber lain yang memanggil titik akhir URL. Diagram ini membandingkan tiga solusi:

operasi keamanan angka 5

  1. API yang tidak diautentikasi ini dapat dipanggil oleh siapa saja di internet. Dalam serangan denial of service, dimungkinkan untuk menghabiskan batas pelambatan API, konkurensi Lambda, atau kapasitas baca yang disediakan DynamoDB pada tabel yang mendasarinya.

  2. CloudFront Distribusi di depan titik akhir API dengan konfigurasi time-to-live(TTL) yang sesuai akan menyerap sebagian besar lalu lintas dalam serangan DoS, tanpa mengubah solusi mendasar untuk mengambil data.

  3. Atau, untuk data statis yang jarang berubah, CloudFront distribusi dapat menyajikan data' dari bucket Amazon S3.

Di halaman ini

Related resources

AWS Lambda Referensi API
AWS CLI perintah untuk AWS Lambda
SDKs & Alat 

Related resources

AWS Lambda Referensi API
AWS CLI perintah untuk AWS Lambda
SDKs & Alat 
PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.