x-amazon-apigateway-integration.tlsConfig 对象 - Amazon API Gateway
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

x-amazon-apigateway-integration.tlsConfig 对象

指定集成的 TLS 配置。

属性
属性名称 类型 说明
insecureSkipVerification Boolean

仅支持用于 REST API 。指定 API Gateway 是否跳过集成终端节点的证书由受支持的证书颁发机构颁发的验证。建议不要这样做,但它使您能够使用由私有证书颁发机构签名的证书或自签名的证书。如果启用,API Gateway 仍会执行基本证书验证,其中包括检查证书的到期日期、主机名以及是否存在根证书颁发机构。属于私有颁发机构的根证书必须满足以下限制:

  • x509 扩展 keyUsage 必须具有 keyCertSign

  • x509 扩展 basicConstraints 必须具有 CA:TRUE

仅支持用于 HTTPHTTP_PROXY 集成。

警告

不推荐启用 insecureSkipVerification,特别是用于与公共 HTTPS 终端节点的集成。如果启用insecureSkipVerification,则会增加 man-in-the-middle 攻击的风险。

serverNameToVerify string

仅支持用于 HTTP API 私有集成。如果指定服务器名称,API Gateway 将使用它来验证集成证书上的主机名。TLS 握手中也包含服务器名称,以支持服务器名称指示 (SNI) 或虚拟主机。

x-amazon-apigateway-integration.tlsConfig 示例

下面的 OpenAPI 3.0 示例为 REST API HTTP 代理集成启用 insecureSkipVerification

"x-amazon-apigateway-integration": { "uri": "http://petstore-demo-endpoint.execute-api.com/petstore/pets", "responses": { default": { "statusCode": "200" } }, "passthroughBehavior": "when_no_match", "httpMethod": "ANY", "tlsConfig" : { "insecureSkipVerification" : true } "type": "http_proxy", }

下面的 OpenAPI 3.0 示例为 HTTP API 私有集成指定 serverNameToVerify

"x-amazon-apigateway-integration" : { "payloadFormatVersion" : "1.0", "connectionId" : "abc123", "type" : "http_proxy", "httpMethod" : "ANY", "uri" : "arn:aws:elasticloadbalancing:us-west-2:123456789012:listener/app/my-load-balancer/50dc6c495c0c9188/0467ef3c8400ae65", "connectionType" : "VPC_LINK", "tlsConfig" : { "serverNameToVerify" : "example.com" } }