Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice di sicurezza in Amazon API Gateway
API Gateway fornisce una serie di caratteristiche di sicurezza che occorre valutare durante lo sviluppo e l'implementazione delle policy di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l'ambiente, gestiscile come considerazioni utili anziché prescrizioni.
- Implementazione dell'accesso con privilegi minimi
-
Utilizzare le policy IAM per implementare l'accesso con privilegi minimi per la creazione, la lettura, l'aggiornamento o l'eliminazione delle API di API Gateway. Per ulteriori informazioni, consulta Gestione delle identità e degli accessi per Amazon API Gateway. API Gateway offre diverse opzioni per controllare l'accesso alle API create. Per ulteriori informazioni, consulta Controlla e gestisci l'accesso alle API REST in API Gateway, Controlla e gestisci l'accesso alle WebSocket API in API Gateway e Controlla l'accesso HTTP APIs con gli JWT autorizzatori in API Gateway.
- Implementare la registrazione
-
Usa CloudWatch Logs o Amazon Data Firehose per registrare le richieste alle tue API. Per ulteriori informazioni, consulta Monitora le API REST in API Gateway, Configurare la registrazione per WebSocket APIs Gateway API e Configurare la registrazione per le API HTTP in API Gateway.
- Implementa gli CloudWatch allarmi Amazon
-
Utilizzando gli CloudWatch allarmi, controlli una singola metrica per un periodo di tempo specificato. Se la metrica supera una determinata soglia, viene inviata una notifica a un argomento o AWS Auto Scaling una politica di Amazon Simple Notification Service. CloudWatch gli allarmi non richiamano azioni quando una metrica si trova in uno stato particolare. È necessario invece cambiare lo stato e mantenerlo per un numero di periodi specificato. Per ulteriori informazioni, consulta Monitora REST API l'esecuzione con i CloudWatch parametri di Amazon.
- Abilita AWS CloudTrail
-
CloudTrail fornisce un registro delle azioni intraprese da un utente, un ruolo o un AWS servizio in API Gateway. Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare la richiesta effettuata a API Gateway, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi. Per ulteriori informazioni, consulta Registrazione delle chiamate API di Amazon API Gateway utilizzando AWS CloudTrail.
- Abilita AWS Config
-
AWS Config fornisce una visualizzazione dettagliata della configurazione delle AWS risorse del tuo account. Puoi vedere in che modo le risorse sono correlate, ottenere una cronologia delle modifiche alla configurazione ed esaminare come cambiano le relazioni e le configurazioni nel tempo. È possibile utilizzare AWS Config per definire regole che valutano le configurazioni delle risorse per la conformità dei dati. AWS Config le regole rappresentano le impostazioni di configurazione ideali per le risorse API Gateway. Se una risorsa viola una regola e viene contrassegnata come non conforme, può AWS Config avvisarti utilizzando un argomento di Amazon Simple Notification Service (Amazon SNS). Per informazioni dettagliate, vedi Monitoraggio della configurazione API di API Gateway con AWS Config.
- Usa AWS Security Hub
-
Monitora l'utilizzo di API Gateway riguardo alle best practice di sicurezza utilizzando AWS Security Hub. Security Hub utilizza controlli di sicurezza per valutare le configurazioni delle risorse e gli standard di sicurezza per aiutarti a rispettare vari framework di conformità. Per ulteriori informazioni sull'utilizzo di Security Hub volto a valutare le risorse Lambda, consulta i controlli di Amazon API Gateway nella Guida per l'utente di AWS Security Hub .
