在API閘道中為您的RESTAPI自訂網域選擇安全性原則 - Amazon API Gateway
如何為自訂網域指定安全性原則針對邊緣最佳化自訂網域支援的安全性原則、TLS通訊協定版本和加密支援區域自訂網域的安全性原則、TLS通訊協定版本和密碼私有支援的TLS通訊協定版本和密碼 APIs公開名SSL稱和RFC密碼名稱有關HTTPAPIs和的信息 WebSocket APIs

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在API閘道中為您的RESTAPI自訂網域選擇安全性原則

為了提高 Amazon API Gateway 自訂網域的安全性,您可以在API閘道主控台中選擇安全政策 AWS CLI、或 AWS SDK.

安全策略是 API Gateway 提供的最低TLS版本和加密套件的預先定義組合。您可以選擇 1.2 TLS 版或 1.0 TLS 版安全性原則。此通TLS訊協定可解決網路安全性問題,例如用戶端與伺服器之間的竄改和竊聽。當您的用戶端API透過自訂網域與您建立TLS握手時,安全性原則會強制執行用戶端可選擇使用的TLS版本和密碼套件選項。

在自訂網域設定中,安全政策會判斷以下兩個設定:

  • API閘道用來與用API戶端通訊的最低TLS版本

  • APIGateway 用來加密傳回給用戶端之內容的密碼 API

如果您選擇 TLS 1.0 安全性原則,安全性原則會接受 TLS 1.0、TLS 1.2 和 TLS 1.3 流量。如果您選擇 TLS 1.2 安全性原則,安全性原則會接受 TLS 1.2 和 TLS 1.3 流量,並拒絕 TLS 1.0 流量。

注意

您只能指定自訂網域的安全性原則。對於API使用預設端點,APIGateway 會使用下列安全策略:

  • 針對邊緣最佳化APIs:TLS-1-0

  • 對於區域APIs:TLS-1-0

  • 對於私人APIs:TLS-1-2

此頁面的下列表格說明每個安全原則的密碼。

如何為自訂網域指定安全性原則

當您建立自訂網域名稱時,您可以為其指定安全性原則。若要瞭解如何建立自訂網域,請參閱在 API Gateway 中設定邊緣最佳化自訂網域名稱在 API Gateway 中設定區域自訂網域名稱

若要變更自訂網域名稱的安全性原則,請更新自訂網域設定。您可以使用 AWS Management Console、或更新您的自訂網域名稱設定 AWS SDK。 AWS CLI

當您使用API閘道RESTAPI或時 AWS CLI,請指定新TLS版本,TLS_1_0TLS_1_2securityPolicy參數中指定。如需詳細資訊,請參閱 Amazon API 閘道RESTAPI參考或update-domain-name參考資料中的網域名稱:update。AWS CLI

更新作業可能需要幾分鐘才能完成。

針對邊緣最佳化自訂網域支援的安全性原則、TLS通訊協定版本和加密

下表說明可針對邊緣最佳化自訂網域名稱指定的安全性原則。

TLS協議

TLS_1_0 安全性原則

TLS_1_2 安全性原則
TLSv1.3
TLSv1.2
TLSv1.1
TLSv1

下表說明每個安全TLS性原則可用的密碼。

TLS密碼

TLS_1_0 安全性原則

TLS_1_2 安全性原則
TLSAES_ GCM SHA256
TLSAES_ GCM SHA384
TLSCHACHA2_ POLY13 SHA256
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-CHACHA2 0-POLY13 05
ECDHE-ECDSA-AES256-SHA384
ECDHE-ECDSA-AES256-SHA
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-CHACHA2 0-POLY13 05
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
AES256-SHA
AES128-SHA
DES-CBC3-SHA

支援區域自訂網域的安全性原則、TLS通訊協定版本和密碼

下表說明地區自訂網域名稱的安全性原則。

TLS協議

TLS_1_0 安全性原則

TLS_1_2 安全性原則

TLSv1.3

TLSv1.2

TLSv1.1

TLSv1

下表說明每個安全TLS性原則可用的密碼。

TLS密碼

TLS_1_0 安全性原則

TLS_1_2 安全性原則

TLSAES_ GCM SHA256

TLSAES_ GCM SHA384

TLSCHACHA2_ POLY13 SHA256

ECDHE-ECDSA-AES128-GCM-SHA256

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-ECDSA-AES128-SHA256

ECDHE-RSA-AES128-SHA256

ECDHE-ECDSA-AES128-SHA

ECDHE-RSA-AES128-SHA

ECDHE-ECDSA-AES256-GCM-SHA384

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES256-SHA384

ECDHE-RSA-AES256-SHA

ECDHE-ECDSA-AES256-SHA

AES128-GCM-SHA256

AES128-SHA256

AES128-SHA

AES256-GCM-SHA384

AES256-SHA256

AES256-SHA

私有支援的TLS通訊協定版本和密碼 APIs

下表說明支援的私有TLS通訊協定APIs。不支援為 private APIs 指定安全性原則。

TLS協議

TLS_1_2 安全性原則

TLSv1.2

下表說明 Private 安全原則可用的TLS密碼APIs。每個TLS_1_2安全原則。

TLS密碼

TLS_1_2 安全性原則

ECDHE-ECDSA-AES128-GCM-SHA256

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-ECDSA-AES128-SHA256

ECDHE-RSA-AES128-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA384
AES128-GCM-SHA256
AES128-SHA256
AES256-GCM-SHA384
AES256-SHA256

公開名SSL稱和RFC密碼名稱

打開SSL和 IETF RFC 5246 對相同的密碼使用不同的名稱。下表將 Open 名SSL稱對應至每個密碼的RFC名稱。

开放SSL密码名称

RFC密碼名稱

TLSAES_ GCM SHA256

TLSAES_ GCM SHA256

TLSAES_ GCM SHA384

TLSAES_ GCM SHA384

TLSCHACHA2_ POLY13 SHA256

TLSCHACHA2_ POLY13 SHA256

ECDHE-RSA-AES128-GCM-SHA256

TLS_ ECDHE RSA _ WITH _ AES _ _ GCM SHA256

ECDHE-RSA-AES128-SHA256

TLS_ ECDHE RSA _ WITH _ AES _ _ CBC SHA256

ECDHE-RSA-AES128-SHA

TLS_ ECDHE RSA _ WITH _ AES _ _ CBC SHA

ECDHE-RSA-AES256-GCM-SHA384

TLS_ ECDHE _ RSA _ WITH _ AES _ _ GCM SHA384

ECDHE-RSA-AES256-SHA384

TLS_ ECDHE _ RSA _ WITH _ AES _ _ CBC SHA384

ECDHE-RSA-AES256-SHA

TLS_ ECDHE _ RSA _ WITH _ AES _ _ CBC SHA

AES128-GCM-SHA256

TLSRSA_ WITH AES _ _ GCM SHA256

AES256-GCM-SHA384

TLS_ RSA WITH _ AES _ _ GCM SHA384

AES128-SHA256

TLSRSA_ WITH AES _ _ CBC SHA256

AES256-SHA

TLS_ RSA WITH _ AES _ _ CBC SHA

AES128-SHA

TLSRSA_ WITH AES _ _ CBC SHA

DES-CBC3-SHA

TLS_ RSA _ WITH _ 3 DES _ EDE _ CBC SHA

有關HTTPAPIs和的信息 WebSocket APIs

若要取得有關HTTPAPIs和的更多資訊 WebSocket APIs,請參閱API閘道HTTPAPIs中的安全性原則API閘道 WebSocket APIs中的安全性原則