使用 AWS Config 監控 API Gateway API 組態 - Amazon API Gateway
支援的資源類型設定 AWS Config設定 AWS Config 以記錄 API Gateway 資源在 AWS Config 主控台中檢視 API Gateway 組態詳細資訊使用 AWS Config 規則評估 API Gateway 資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS Config 監控 API Gateway API 組態

您可以使用 AWS Config,記錄對您的 API Gateway API 資源所做的組態變更,並根據資源變更傳送通知。保留 API Gateway 資源的組態變更歷史記錄很實用,可用於解決操作問題、稽核和合規使用案例。

AWS Config 可以追蹤對下列組態所做的變更:

  • API 階段組態,例如:

    • 快取叢集設定

    • 調節設定

    • 存取日誌設定

    • 階段上使用中的部署設定

  • API 組態,例如:

    • 端點組態

    • version

    • 通訊協定

    • tags

此外,AWS Config 規則 功能可讓您定義組態規則,以及自動偵測、追蹤和提醒這些規則的違規。透過追蹤這些資源組態屬性的變更,您也可以為 API Gateway 資源撰寫變更觸發的 AWS Config 規則,並根據最佳實務測試您的資源組態。

您可以使用 AWS Config 主控台或 AWS Config,在您的帳戶中啟用 AWS CLI。選取您要追蹤變更的資源類型。如果您之前已將 AWS Config 設定為記錄所有資源類型,則這些 API Gateway 資源會自動記錄在您的帳戶中。所有 AWS 公有區域和 AWS GovCloud (US) 都支援 AWS Config 中的 Amazon API Gateway。如需受支援區域的完整清單,請參閱《AWS 一般參考》中的 Amazon API Gateway 端點和配額

支援的資源類型

以下 API Gateway 資源類型會與 AWS Config 整合,並記載於 AWS Config 支援的 AWS 資源類型和資源關係中:

  • AWS::ApiGatewayV2::Api (WebSocket 和 HTTP API)

  • AWS::ApiGateway::RestApi (REST API)

  • AWS::ApiGatewayV2::Stage (WebSocket 和 HTTP API 階段)

  • AWS::ApiGateway::Stage (REST API 階段)

如需 AWS Config 的詳細資訊,請參閱《AWS Config 開發人員指南》。如需定價資訊,請參閱AWS Config 定價資訊頁面

重要

如果您在部署 API 之後變更任何以下 API 屬性,則必須重新部署 API 以傳播變更。否則,您將會在 AWS Config 主控台中看到屬性變更,但先前的屬性設定仍然有效;API 的執行時間行為將保持不變。

  • AWS::ApiGateway::RestApibinaryMediaTypes, minimumCompressionSize, apiKeySource

  • AWS::ApiGatewayV2::ApiapiKeySelectionExpression

設定 AWS Config

若要初始設定 AWS Config,請參閱下列在 AWS Config 開發人員指南中的主題。

設定 AWS Config 以記錄 API Gateway 資源

在預設情況下,AWS Config 會記錄所有區域資源支援類型的組態變更,它會探索環境執行所在的區域。您可以自訂 AWS Config 以記錄變更,其僅適用於特定的資源類型,或全域資源的變化。

若要了解區域與全域資源,以及了解如何自訂您的 AWS Config 組態,請參閱選取 AWS Config 記錄的資源

在 AWS Config 主控台中檢視 API Gateway 組態詳細資訊

您可以使用 AWS Config 主控台來尋找 API Gateway 資源,並取得其組態的目前和歷史詳細資訊。以下程序顯示如何尋找 API Gateway API 的相關資訊。

在 AWS Config 主控台中尋找 API Gateway 資源

  1. 開啟 AWS Config 主控台

  2. 選擇 Resources (資源)

  3. Resource (資源) 清單頁面上,選擇 Resources (資源)

  4. 開啟 Resource type (資源類型) 功能表,捲動到 APIGateway 或 APIGatewayV2,然後選擇一或多個 API Gateway 資源類型。

  5. 選擇 Look up (查閱)。

  6. 在 AWS Config 顯示的資源清單中選擇資源 ID。AWS Config 會顯示組態詳細資訊,以及其他有關您所選取資源的資訊。

  7. 若要查看記錄組態的完整詳細資訊,請選擇 View Details (檢視詳細資訊)

若要了解尋找資源和檢視此頁面資訊的更多方式,請參閱 AWS Config 開發人員指南中的檢視 AWS 資源組態和歷史紀錄

使用 AWS Config 規則評估 API Gateway 資源

您可以建立 AWS Config 規則,其代表您的 API Gateway 資源的理想組態設定。您可以使用預先定義的 AWS Config 受管規則,或是定義自訂規則。AWS Config 會持續追蹤您資源組態的變更,以判斷變更是否會違反您的規則條件。AWS Config 主控台會顯示您規則和資源的合規狀態。

如果資源違反規則並標示為不合規,AWS Config 可以使用 Amazon Simple Notification Service 開發人員指南 (Amazon SNS) 主題來提醒您。如要透過程式設計方式使用這些 AWS Config 提醒中的資料,請使用 Amazon Simple Queue Service (Amazon SQS) 佇列做為 Amazon SNS 主題的通知端點。

若要進一步了解設定及使用規則,請參閱 AWS Config 開發人員指南中的使用規則評估資源