使用 API Gateway 资源策略控制对 API 的访问 - Amazon API Gateway
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 API Gateway 资源策略控制对 API 的访问

Amazon API Gateway 资源策略是您附加到 API 的 JSON 策略文档,用于控制指定的主体(通常是 IAM 角色或组)能否调用 API。您可以使用 API Gateway 资源策略来允许 API 安全地被以下对象调用:

  • 指定的 Amazon 账户中的用户。

  • 指定源 IP 地址范围或 CIDR 块

  • 指定的 Virtual Private Cloud (VPC) 或 VPC 端点(在任何账户中)。

您可以对 API Gateway 中的所有 API 端点类型使用资源策略:私有、边缘优化和区域。

对于 私有 API,您可以将资源策略与 VPC 端点策略一起使用,控制委托人有权访问哪些资源和操作。有关更多信息,请参阅 在 API Gateway 中为私有 API 使用 VPC 端点策略

您可以使用 Amazon Web Services Management Console、Amazon CLI 或 Amazon 开发工具包将资源策略附加到 API。

API Gateway 资源策略与基于 IAM 身份的策略不同。基于 IAM 身份的策略附加到 IAM 用户、组或角色并定义这些身份能够对哪些资源执行哪些操作。API Gateway 资源策略是附加到资源的。有关基于身份的策略与资源策略的区别的更详细讨论,请参阅基于身份的策略与基于资源的策略

您可以同时使用 API Gateway 资源策略和 IAM 策略。

主题