Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Per una maggiore sicurezza del tuo dominio personalizzato Amazon API Gateway, puoi scegliere una policy di sicurezza nella console API Gateway AWS CLI, o in un AWS SDK.
Una policy di sicurezza è una combinazione predefinita di versione TLS minima e suite di crittografia offerta da Gateway API. Puoi scegliere una policy di sicurezza con TLS versione 1.2 o TLS versione 1.0. Il protocollo TLS affronta i problemi di sicurezza della rete, ad esempio manomissioni e intercettazioni tra un client e un server. Quando i client stabiliscono un handshake TLS sull'API tramite il dominio personalizzato, la policy di sicurezza applica la versione di TLS e le opzioni del pacchetto di crittografia che i client possono scegliere di utilizzare.
Nelle impostazioni del dominio personalizzato, una policy di sicurezza determina due impostazioni:
-
La versione di TLS minima che API Gateway utilizza per comunicare con i client dell'API
-
La crittografia che API Gateway utilizza per crittografare i contenuti che restituirà ai client dell'API
Se si sceglie una policy di sicurezza TLS 1.0, la policy di sicurezza accetta il traffico TLS 1.0, TLS 1.2 e TLS 1.3. Se si sceglie una policy di sicurezza TLS 1.2, la policy di sicurezza accetta il traffico TLS 1.2 e TLS 1.3 e rifiuta il traffico TLS 1.0.
Nota
È possibile specificare una sola policy di sicurezza per ogni dominio personalizzato. Per un'API che utilizza un endpoint predefinito, Gateway API usa la seguente policy di sicurezza:
Per soluzioni ottimizzate per i dispositivi periferici: APIs
TLS-1-0Per Regional: APIs
TLS-1-0Per uso privato APIs:
TLS-1-2
Le crittografie di ogni policy di sicurezza sono descritte nelle tabelle seguenti in questa pagina.
Argomenti
Come specificare una policy di sicurezza per domini personalizzati
Quando si crea un nome di dominio personalizzato, si specifica la relativa policy di sicurezza. Per informazioni su come creare un dominio personalizzato, consulta Configurazione di un nome di dominio personalizzato ottimizzato per l'edge in Gateway API o Configurazione di un nome di dominio personalizzato regionale in Gateway API.
Per modificare la policy di sicurezza del nome di dominio personalizzato, aggiornare le impostazioni del dominio personalizzato. Puoi aggiornare le impostazioni personalizzate del nome di dominio utilizzando il AWS Management Console AWS CLI, o un AWS SDK.
Quando si usa la REST API di Gateway API o AWS CLI, si specifica la nuova versione TLS, TLS_1_0 o TLS_1_2, nel parametro securityPolicy. Per ulteriori informazioni, consulta domainname:update nel riferimento all'API REST di Amazon API Gateway o update-domain-namenel Reference.AWS CLI
Il completamento dell'operazione di aggiornamento potrebbe richiedere alcuni minuti.
Policy di sicurezza, versioni del protocollo TLS e crittografie supportate per domini personalizzati ottimizzati per l'edge
La tabella seguente descrive le policy di sicurezza che si possono specificare per i nomi di dominio personalizzati ottimizzati per l'edge.
Protocolli TLS |
Policy di sicurezza TLS_1_0 |
Policy di sicurezza TLS_1_2 |
|---|---|---|
| TLSv13. | ||
| TLSv12. | ||
| TLSv11. | ||
| TLSv1 |
La tabella seguente descrive le crittografie TLS disponibili per ogni policy di sicurezza.
Crittografie TLS |
Policy di sicurezza TLS_1_0 |
Policy di sicurezza TLS_1_2 |
|---|---|---|
| TLS_AES_128_GCM_ SHA256 | ||
| TLS_AES_256_GCM_ SHA384 | ||
| TLS_ 0_05_ CHACHA2 POLY13 SHA256 | ||
| ECDHE-ECDSA- -GCM- AES128 SHA256 | ||
| ECDHE-ECSA- - AES128 SHA256 | ||
| ECDHE-ECDSA- -SHA AES128 | ||
| ECDHE-ECDSA- -GCM- AES256 SHA384 | ||
| ECDHE-ECDSA CHACHA2 - 0-05 POLY13 | ||
| ECDHE-ECDSA- AES256 - SHA384 | ||
| ECDHE-ECDSA- -SHA AES256 | ||
| ECDH-RSA- -GCM- AES128 SHA256 | ||
| ECDHE-RSA AES128 - - SHA256 | ||
| ECDHE-RSA- AES128 -SHA | ||
| ECDHE-RSA- AES256 -GCM- SHA384 | ||
| ECDHE-RSA CHACHA2 - 0-05 POLY13 | ||
| ECDHE-RSA AES256 - - SHA384 | ||
| ECDHE-RSA- AES256 -SHA | ||
| AES128-GCM- SHA256 | ||
| AES256-GCM- SHA384 | ||
| AES128-SHA256 | ||
| AES256-SHA | ||
| AES128-SHA | ||
| DES- -SHA CBC3 |
Policy di sicurezza, versioni del protocollo TLS e crittografie supportate per domini personalizzati regionali
La tabella seguente descrive le policy di sicurezza per i nomi di dominio personalizzati regionali.
Protocolli TLS |
Policy di sicurezza TLS_1_0 |
Policy di sicurezza TLS_1_2 |
|---|---|---|
TLSv13. |
||
TLSv12. |
||
TLSv11. |
||
TLSv1 |
La tabella seguente descrive le crittografie TLS disponibili per ogni policy di sicurezza.
Crittografie TLS |
Policy di sicurezza TLS_1_0 |
Policy di sicurezza TLS_1_2 |
|---|---|---|
TLS_AES_128_GCM_ SHA256 |
||
TLS_AES_256_GCM_ SHA384 |
||
TLS_ 0_05_ CHACHA2 POLY13 SHA256 |
||
ECDHE-ECDSA- -GCM- AES128 SHA256 |
||
ECDH-RSA- AES128 -GCM- SHA256 |
||
ECDHE-ECSA AES128 - - SHA256 |
||
ECDHE-RSA- - AES128 SHA256 |
||
ECDHE-ECDSA- AES128 -SHA |
||
ECDH-RSA- -SHA AES128 |
||
ECDHE-ECDSA- AES256 -GCM- SHA384 |
||
ECDH-RSA- AES256 -GCM- SHA384 |
||
ECDHE-ECSA AES256 - - SHA384 |
||
ECDHE-RSA- - AES256 SHA384 |
||
ECDHE-RSA- AES256 -SHA |
||
ECDHE-ECDSA- AES256 -SHA |
||
AES128-GCM- SHA256 |
||
AES128-SHA256 |
||
AES128-SHA |
||
AES256-GCM- SHA384 |
||
AES256-SHA256 |
||
AES256-SHA |
Versioni e cifrari del protocollo TLS supportati per uso privato APIs
La tabella seguente descrive i protocolli TLS supportati per uso privato. APIs La specificazione di una politica di sicurezza per uso privato non APIs è supportata.
Protocolli TLS |
Policy di sicurezza TLS_1_2 |
|---|---|
TLSv12. |
La tabella seguente descrive i codici TLS disponibili per la politica di TLS_1_2 sicurezza per utenti privati. APIs
Crittografie TLS |
Policy di sicurezza TLS_1_2 |
|---|---|
ECDHE-ECDSA- -GCM- AES128 SHA256 |
|
ECDH-RSA- AES128 -GCM- SHA256 |
|
ECDHE-ECSA AES128 - - SHA256 |
|
ECDHE-RSA- - AES128 SHA256 |
|
| ECDHE-ECDSA- -GCM AES256 - SHA384 | |
| ECDH-RSA- AES256 -GCM- SHA384 | |
| ECDHE-ECSA AES256 - - SHA384 | |
| ECDHE-RSA- - AES256 SHA384 | |
| AES128-GCM- SHA256 | |
| AES128-SHA256 | |
| AES256-GCM- SHA384 | |
| AES256-SHA256 |
OpenSSL e nomi crittografia RFC
OpenSSL e IETF RFC 5246 utilizzano nomi diversi per le stesse crittografie. La tabella seguente mappa il nome OpenSSL al nome RFC per ogni crittografia.
Nome crittografia OpenSSL |
Nome crittografia RFC |
|---|---|
TLS_AES_128_GCM_ SHA256 |
TLS_AES_128_GCM_ SHA256 |
TLS_AES_256_GCM_ SHA384 |
TLS_AES_256_GCM_ SHA384 |
TLS_ 0_05_ CHACHA2 POLY13 SHA256 |
TLS_ CHACHA2 POLY13 0_05_ SHA256 |
ECDHE-RSA- -GCM- AES128 SHA256 |
TLS_ECDHE_RSA_CON_AES_128_GCM_ SHA256 |
ECDHE-RSA- - AES128 SHA256 |
TLS_ECDHE_RSA_CON_AES_128_CBC_ SHA256 |
ECDHE-RSA- -SHA AES128 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
ECDHE-RSA- AES256 -GCM- SHA384 |
TLS_ECDHE_RSA_CON_AES_256_GCM_ SHA384 |
ECDHE-RSA- - AES256 SHA384 |
TLS_ECDHE_RSA_CON_AES_256_CBC_ SHA384 |
ECDHE-RSA- -SHA AES256 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
AES128-GCM- SHA256 |
TLS_RSA_CON_AES_128_GCM_ SHA256 |
AES256-GCM- SHA384 |
TLS_RSA_CON_AES_256_GCM_ SHA384 |
AES128-SHA256 |
TLS_RSA_CON_AES_128_CBC_ SHA256 |
AES256-SHA |
TLS_RSA_WITH_AES_256_CBC_SHA |
AES128-SHA |
TLS_RSA_WITH_AES_128_CBC_SHA |
DES- -SHA CBC3 |
TLS_RSA_WITH_3DES_EDE_CBC_SHA |
Informazioni su HTTP e APIs WebSocket APIs
Per ulteriori informazioni su HTTP APIs e WebSocket APIs, vedere Politica di sicurezza per HTTP APIs in API Gateway ePolitica di sicurezza per WebSocket APIs API Gateway.
