Melhores práticas de segurança no Amazon API Gateway

O API Gateway fornece uma série de recursos de segurança a serem considerados no desenvolvimento e na implementação das suas próprias políticas de segurança. As melhores práticas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes no seu ambiente, trate-as como considerações úteis em vez de requisitos.

Implemente o privilégio de acesso mínimo: Use políticas do IAM para implementar o acesso de menor privilégio para criar, ler, atualizar ou excluir APIs do API Gateway. Para saber mais, consulte Gerenciamento de identidade e acesso para o Amazon API Gateway. O API Gateway oferece várias opções para controlar o acesso às APIs criadas por você. Para saber mais, consulte Controlar e gerenciar o acesso a APIs REST no API Gateway, Controlar e gerenciar o acesso a APIs de WebSocket no API Gateway e Controlar o acesso a APIs HTTP com autorizadores JWT no API Gateway.
Implementar o registro em log: Use o CloudWatch Logs ou o Amazon Data Firehose para registrar em log solicitações em suas APIs. Para saber mais, consulte Monitorar APIs REST no API Gateway, Configurar o registro em log para APIs de WebSocket no API Gateway e Configurar registro em log para APIs HTTP no API Gateway.
Implementar alarmes do Amazon CloudWatch: Ao usar alarmes do CloudWatch, você observa uma única métrica durante um período especificado. Se a métrica exceder determinado limite, uma notificação será enviada para um tópico do Amazon Simple Notification Service ou para uma política do AWS Auto Scaling. Os alarmes do CloudWatch não invocam ações quando uma métrica está em um estado específico. O estado deve ter sido alterado e mantido por uma quantidade especificada de períodos. Para obter mais informações, consulte Monitorar a execução da API REST com métricas do Amazon CloudWatch.
Habilitar o AWS CloudTrail: O CloudTrail fornece um registro de ações executadas por um usuário, uma função ou um serviço da AWS no API Gateway. Usando as informações coletadas pelo CloudTrail, é possível determinar a solicitação feita para o API Gateway, o endereço IP do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais. Para obter mais informações, consulte Registrar em log chamadas de APIs do Amazon API Gateway usando o AWS CloudTrail.
Habilitar o AWS Config: O AWS Config fornece uma visão detalhada da configuração dos recursos da AWS na conta. Você pode ver como os recursos estão relacionados, obter um histórico de alterações de configuração e ver como os relacionamentos e as configurações foram alterados ao longo do tempo. É possível usar o AWS Config para definir regras que avaliam configurações de recursos para conformidade de dados. As regras do AWS Config representam as definições de configuração ideais para os recursos do API Gateway. Se um recurso violar uma regra e for sinalizado como não compatível, o AWS Config poderá alertá-lo usando um tópico do Amazon Simple Notification Service (Amazon SNS). Para obter mais detalhes, consulte Monitorar a configuração da API do API Gateway com AWS Config.
Usar o AWS Security Hub: Monitore seu uso do API Gateway em relação às práticas recomendadas de segurança com o AWS Security Hub. O Security Hub usa controles de segurança para avaliar configurações de recursos e padrões de segurança que ajudam você a cumprir vários frameworks de conformidade. Para ter mais informações sobre como usar o Security Hub para avaliar os recursos do API Gateway, consulte Controles do Amazon API Gateway no Guia do usuário do AWS Security Hub.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Análise de configuração e vulnerabilidade

Atribuição de tags (tagging)