使用 API Gateway 资源策略控制对 API 的访问
Amazon API Gateway 资源策略是您附加到 API 的 JSON 策略文档,用于控制指定的主体(通常是 IAM 角色或组)能否调用 API。您可以使用 API Gateway 资源策略来允许 API 安全地被以下对象调用:
-
指定的 AWS 账户中的用户。
-
指定源 IP 地址范围或 CIDR 块
-
指定的 Virtual Private Cloud (VPC) 或 VPC 端点(在任何账户中)。
您可以使用 AWS Management Console、AWS CLI 或 AWS SDK,为 API Gateway 中的任何 API 端点类型附加资源策略。对于 私有 API,您可以将资源策略与 VPC 端点策略一起使用,控制委托人有权访问哪些资源和操作。有关更多信息,请参阅 在 API Gateway 中为私有 API 使用 VPC 端点策略。
API Gateway 资源策略与基于 IAM 身份的策略不同。基于 IAM 身份的策略附加到 IAM 用户、组或角色并定义这些身份能够对哪些资源执行哪些操作。API Gateway 资源策略是附加到资源的。您可以同时使用 API Gateway 资源策略和 IAM 策略。有关更多信息,请参阅基于身份的策略和基于资源的策略。
主题
