API Gateway 提供了在您开发和实施自己的安全策略时需要考虑的大量安全功能。以下最佳实践是一般准则,并不代表完整的安全解决方案。由于这些最佳实践可能不适合您的环境或不满足您的环境要求,因此将其视为有用的考虑因素而不是惯例。
- 实施最低权限访问
-
使用 IAM 策略实施最低权限访问,以创建、读取、更新或删除 API Gateway API。要了解更多信息,请参阅“适用于 Amazon API Gateway 的 Identity and Access Management”。API Gateway 提供了多个选项来控制对您创建的 API 的访问。要了解更多信息,请参阅在 API Gateway 中控制和管理对 REST API 的访问、在 API Gateway 中控制和管理对 WebSocket API 的访问以及 在 API Gateway 中使用 JWT 授权方控制对 HTTP API 的访问。
- 实施日志记录
-
使用 CloudWatch Logs 或 Amazon Data Firehose 记录对 API 的请求。要了解更多信息,请参阅监控 API Gateway 中的 REST API、为 API Gateway 中的 WebSocket API 配置日志记录以及 为 API Gateway 中的 HTTP API 配置日志记录。
- 实施 Amazon CloudWatch 警报
-
使用 CloudWatch 警报,可以观看单个指标在指定时间段内的变化。如果指标超过给定阈值,则会向 Amazon Simple Notification Service 主题或 AWS Auto Scaling 策略发送通知。当指标处于特定状态时,CloudWatch 警报不会调用操作。而是必须在状态已改变并在指定的若干个时间段内保持不变后才调用。有关更多信息,请参阅 使用 Amazon CloudWatch 指标监控 REST API 执行。
- 启用 AWS CloudTrail
-
CloudTrail 提供了用户、角色或AWS服务在 API Gateway 中所执行操作的记录。使用 CloudTrail 收集的信息,您可以确定向 API Gateway 发出了什么请求、发出请求的 IP 地址、何人发出的请求、请求的发出时间以及其他详细信息。有关更多信息,请参阅 使用 AWS CloudTrail 记录 Amazon API Gateway API 调用。
- 启用 AWS Config
-
AWS Config 可以提供关于您的账户中的 AWS 资源配置的详细信息。您可以查看资源的关联方式、获取配置更改的历史记录并了解关系和配置如何随时间的推移而变化。您可以使用 AWS Config 定义评估资源配置是否符合数据的规则。AWS Config 规则代表 API Gateway 资源的理想配置设置。如果某个资源违反了某规则并且被标记为“不合规”,则 AWS Config 可能提醒您使用 Amazon Simple Notification Service (Amazon SNS) 主题。有关详细信息,请参阅使用 AWS Config 监控 API Gateway API 配置。
- 使用 AWS Security Hub
-
监控 API Gateway 的使用情况,因为它与使用 AWS Security Hub 的安全最佳实践相关。Security Hub 使用安全控件来评估资源配置和安全标准,以帮助您遵守各种合规框架。有关使用 Security Hub 评估 API Gateway 资源的更多信息,请参阅《AWS Security Hub 用户指南》中的 Amazon API Gateway 控件。
