VPCconsiderazioni sulla politica degli endpoint VPCesempi di policy sugli endpoint Esempio 1: policy sugli VPC endpoint che concede l'accesso a due APIs Esempio 2: la policy VPC degli endpoint che concede l'accesso ai metodi GET Esempio 3: politica VPC degli endpoint che concede a un utente specifico l'accesso a un determinato API

Usa le politiche VPC degli endpoint per uso privato APIs in API Gateway

Per migliorare la sicurezza dei dati privatiAPI, puoi creare una policy sugli VPC endpoint. Una policy per gli VPC endpoint è una politica IAM delle risorse che si allega a un VPC endpoint. Per ulteriori informazioni, vedere Controllo dell'accesso ai servizi con VPC gli endpoint.

Potresti voler creare una policy per gli VPC endpoint per eseguire le seguenti attività.

Consenti solo a determinate organizzazioni o risorse di accedere al tuo VPC endpoint e richiamare il tuo. API
Utilizza un'unica policy ed evita politiche basate sulla sessione o sui ruoli per controllare il traffico verso il tuo. API
Rafforza il perimetro di sicurezza della tua applicazione durante la migrazione da locale a. AWS

VPCconsiderazioni sulla politica degli endpoint

Di seguito sono riportate alcune considerazioni relative alla politica degli endpointVPC.

L'identità dell'invoker viene valutata in base al valore dell'intestazione Authorization. A seconda del authorizationType in uso, è possibile che si verifichi un errore 403 IncompleteSignatureException o 403 InvalidSignatureException. La tabella seguente mostra i valori dell'intestazione Authorization per ogni authorizationType.

`authorizationType`	`Authorization`intestazione valutata?	Valori di intestazione consentiti `Authorization`
`NONE` con la policy predefinita di accesso completo	No	Non passato
`NONE` con una policy di accesso personalizzata	Sì	Deve essere un valore SigV4 valido
`IAM`	Sì	Deve essere un valore SigV4 valido
`CUSTOM` o `COGNITO_USER_POOLS`	No	Non passato

Se una politica limita l'accesso a un IAM principale specifico, ad esempioarn:aws:iam::account-id:role/developer, devi impostare il authorizationType tuo API metodo su o. AWS_IAM NONE Per ulteriori istruzioni su come impostare il metodo authorizationType for a, consultaMetodi per REST APIs in API Gateway.
VPCle politiche degli endpoint possono essere utilizzate insieme alle politiche delle risorse di API Gateway. La politica delle risorse di API Gateway specifica quali principali possono accedere a. API La policy dell'endpoint specifica chi può accedere VPC e quali APIs possono essere richiamati dall'endpoint. VPC L'utente privato API necessita di una policy in materia di risorse, ma non è necessario creare una policy personalizzata VPC per gli endpoint.

VPCesempi di policy sugli endpoint

Puoi creare policy per gli endpoint Amazon Virtual Private Cloud per Amazon API Gateway in cui puoi specificare quanto segue.

Il principale che può eseguire azioni.
Le operazioni che possono essere eseguite.
Le risorse su cui è possibile eseguire le operazioni.

Per collegare la policy all'VPCendpoint, dovrai utilizzare la VPC console. Per ulteriori informazioni, consulta Controllo dell'accesso ai servizi con gli VPC endpoint.

Esempio 1: policy sugli VPC endpoint che concede l'accesso a due APIs

La seguente politica di esempio concede l'accesso solo a due dispositivi specifici APIs tramite l'VPCendpoint a cui è associata la policy.


{
    "Statement": [
        {
            "Principal": "*",
            "Action": [
                "execute-api:Invoke"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/*",
                "arn:aws:execute-api:us-east-1:123412341234:aaaaa11111/*"
            ]
        }
    ]
}

Esempio 2: la policy VPC degli endpoint che concede l'accesso ai metodi GET

La seguente politica di esempio concede agli utenti l'accesso ai GET metodi per uno specifico dispositivo API tramite l'VPCendpoint a cui è allegata la policy.


{
    "Statement": [
        {
            "Principal": "*",
            "Action": [
                "execute-api:Invoke"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/stageName/GET/*"
            ]
        }
    ]
}

Esempio 3: politica VPC degli endpoint che concede a un utente specifico l'accesso a un determinato API

La seguente politica di esempio concede a un utente specifico l'accesso a uno specifico API tramite l'VPCendpoint a cui è associata la policy.

In questo caso, poiché la policy limita l'accesso a IAM principali specifici, è necessario impostare il authorizationType metodo su o. AWS_IAM NONE


{
    "Statement": [
        {
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123412341234:user/MyUser"
                ]
            },
            "Action": [
                "execute-api:Invoke"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:execute-api:us-east-1:123412341234:a1b2c3d4e5/*"
            ]
        }
    ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Creare e collegare una policy a un utente

Utilizzo di tag per controllare l'accesso a un'API REST