本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Amazon API Gateway 的安全最佳實務 在您開發和實作自己的安全政策時,可考慮使用 API Gateway 提供的多種安全功能。以下最佳實務為一般準則,並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求,因此請將其視為實用建議就好,而不要當作是指示。 **實作最低權限存取** 使用 IAM 政策來實作建立、讀取、更新或刪除 API Gateway API 的最低權限存取。如需進一步了解,請參閱[適用於 Amazon API Gateway 的 Identity and Access Management](security-iam.md)。API Gateway 提供數個選項來控制對您所建立 API 的存取。如需進一步了解,請參閱[在 API Gateway 中控制和管理對 REST API 的存取](apigateway-control-access-to-api.md)、[在 API Gateway 中控制和管理對 WebSocket API 的存取](apigateway-websocket-api-control-access.md)和[使用 API Gateway 中的 JWT 授權方來控制對 HTTP API 的存取](http-api-jwt-authorizer.md)。 **實作記錄** 使用 CloudWatch Logs 或 Amazon Data Firehose 將請求記錄到您的 API。如需進一步了解,請參閱[在 API Gateway 中監控 REST API](rest-api-monitor.md)、[在 API Gateway 中設定 WebSocket API 的記錄](websocket-api-logging.md)和[在 API Gateway 中設定 HTTP API 的日誌](http-api-logging.md)。 **實作 Amazon CloudWatch 警示** 您可以使用 CloudWatch 警示觀察單一指標一段指定的時間。如果指標超過指定的閾值,則會將通知傳送至 Amazon Simple Notification Service 主題或 AWS Auto Scaling 政策。當指標處於特定狀態時,CloudWatch 警示不會叫用動作。必須是狀態已變更並維持了所指定的時間長度,才會呼叫動作。如需詳細資訊,請參閱[使用 Amazon CloudWatch 指標監控 REST API 執行](monitoring-cloudwatch.md)。 **啟用 AWS CloudTrail** CloudTrail 提供由使用者、角色或 API Gateway 中的 AWS 服務所採取之動作的記錄。您可以利用 CloudTrail 所收集的資訊來判斷向 API Gateway 發出的請求,以及發出請求的 IP 地址、人員、時間和其他詳細資訊。如需詳細資訊,請參閱[使用 記錄 Amazon API Gateway API 呼叫 AWS CloudTrail](cloudtrail.md)。 **啟用 AWS Config** AWS Config 提供帳戶中 AWS 資源組態的詳細檢視。您可以了解資源如相關聯,可以取得組態變更歷程記錄,並且了解關係和組態隨時間產生的變化。您可以使用 AWS Config 來定義評估資源組態以進行資料合規的規則。 AWS Config 規則代表 API Gateway 資源的理想組態設定。如果資源違反規則並標記為不合規, AWS Config 可以使用 Amazon Simple Notification Service (Amazon SNS) 主題提醒您。如需詳細資訊,請參閱[使用 監控 API Gateway API 組態 AWS Config](apigateway-config.md)。 **使用 AWS Security Hub CSPM** 透過使用 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 監視您 API Gateway 的使用狀況,因為它關係到安全最佳實務。Security Hub CSPM 使用*安全控制*來評估資源組態和*安全標準*,以協助您符合各種合規架構。如需使用 Security Hub CSPM 評估 API Gateway 資源的詳細資訊,請參閱*AWS Security Hub 《 使用者指南*》中的 [Amazon API Gateway 控制項](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html)。