x-amazon-apigateway-integration.tlsConfig オブジェクト - Amazon API Gateway
x-amazon-apigateway-integration.tlsConfig examples

x-amazon-apigateway-integration.tlsConfig オブジェクト

統合の TLS 設定を指定します。

プロパティ名 タイプ 説明
insecureSkipVerification Boolean

REST API でのみサポートされます。サポートされている認証機関から統合エンドポイントの証明書が発行されているかどうかの検証を API Gateway がスキップするかどうかを指定します。これはお勧めしませんが、プライベート認証機関によって署名された証明書、または自己署名された証明書を使用できます。有効にした場合でも、API Gateway は証明書の基本的な検証を実行します。これには、証明書の有効期限、ホスト名、ルート認証機関の存在の確認が含まれます。民間機関に属するルート証明書は、以下の制約を満たす必要があります。

  • x509 拡張子 keyUsage には keyCertSign が必要です。

  • x509 拡張子 basicConstraints には CA:TRUE が必要です。

HTTP および HTTP_PROXY 統合でのみサポートされます。

警告

insecureSkipVerification の有効化は、特にパブリック HTTPS エンドポイントとの統合には推奨されません。insecureSkipVerification を有効にすると、中間者 (MITM) 攻撃のリスクが高くなります。
serverNameToVerify string

HTTP API プライベート統合でのみサポートされます。サーバー名を指定すると、API Gateway ではそれを使用して統合の証明書のホスト名を検証します。サーバー名は、Server Name Indication (SNI) または仮想ホスティングをサポートするために、TLS ハンドシェイクにも含まれています。

x-amazon-apigateway-integration.tlsConfig examples

以下の OpenAPI3.0 の例では、REST API HTTP プロキシ統合に対して insecureSkipVerification を有効にしています。

"x-amazon-apigateway-integration": {
  "uri": "http://petstore-demo-endpoint.execute-api.com/petstore/pets",
  "responses": {
     default": {
       "statusCode": "200"
      }
  },
  "passthroughBehavior": "when_no_match",
  "httpMethod": "ANY",
  "tlsConfig" : {
    "insecureSkipVerification" : true
  }
  "type": "http_proxy",
}

以下の OpenAPI 3.0 の例では、REST API プライベート統合に対して serverNameToVerify を指定しています。

"x-amazon-apigateway-integration" : {
  "payloadFormatVersion" : "1.0",
  "connectionId" : "abc123",
  "type" : "http_proxy",
  "httpMethod" : "ANY",
  "uri" : "arn:aws:elasticloadbalancing:us-west-2:123456789012:listener/app/my-load-balancer/50dc6c495c0c9188/0467ef3c8400ae65",
  "connectionType" : "VPC_LINK",
  "tlsConfig" : {
     "serverNameToVerify" : "example.com"
  }
}