在 API Gateway 中为自定义域选择最低 TLS 版本
为了提高安全性,您可以通过在 API Gateway 控制台、Amazon CLI 或Amazon开发工具包中设置安全策略,为 Amazon API Gateway 自定义域选择最低传输层安全性 (TLS) 协议版本。
安全策略 是 Amazon API Gateway 实施的最低 TLS 版本和密码套件的预定义组合。您可以选择 TLS 版本 1.2 或 TLS 版本 1.0 安全策略。TLS 协议解决了网络安全问题,例如客户端和服务器之间的篡改和窃听。当您的客户端通过自定义域建立与您 API 的 TLS 握手时,安全策略实施客户端可以选择使用的 TLS 版本和密码套件选项。
在自定义域设置中,安全策略确定两个设置:
-
API Gateway 用来与 API 客户端通信的最低 TLS 版本
-
API Gateway 用来加密其返回到 API 客户端的内容的密码
主题
如何在 API Gateway 中为自定义域指定一个最低 TLS 协议版本
当您创建自定义域时,您为其指定安全策略。有关安全策略的更多信息,请参阅以下部分中的表。
以下部分介绍如何创建自定义域名,包括在 API Gateway 控制台和 CLI 中指定最低 TLS 版本:
您可以通过更新域名设置来更改安全策略。要更改最低 TLS 版本,请使用以下任一命令,在 TLS_1_0 参数中指定新 TLS 版本(TLS_1_2 或 securityPolicy)。允许最多 60 分钟的时间完成更新。
API Gateway 中边缘优化的 API 终端节点支持的安全策略、TLS 协议版本和密码
下表列出了每个安全策略中,API Gateway 可用于边缘优化 API 的协议和密码。
| 安全策略 | ||
|---|---|---|
| TLS-1-0 | TLS-1-2 | |
| 支持的 SSL/TLS 协议 | ||
| TLSv1.3 | ♦ | ♦ |
| TLSv1.2 | ♦ | ♦ |
| TLSv1.1 | ♦ | |
| TLSv1 | ♦ | |
| SSLv3 | ||
| Ciphers supported | ||
| ECDHE-RSA-AES128-GCM-SHA256 | ♦ | ♦ |
| ECDHE-RSA-AES128-SHA256 | ♦ | ♦ |
| ECDHE-RSA-AES128-SHA | ♦ | |
| ECDHE-RSA-AES256-GCM-SHA384 | ♦ | ♦ |
| ECDHE-RSA-AES256-SHA384 | ♦ | ♦ |
| ECDHE-RSA-AES256-SHA | ♦ | |
| AES128-GCM-SHA256 | ♦ | ♦ |
| AES256-GCM-SHA384 | ♦ | ♦ |
| AES128-SHA256 | ♦ | ♦ |
| AES256-SHA | ♦ | |
| AES128-SHA | ♦ | |
| DES-CBC3-SHA | ♦ | |
| RC4-MD5 | ||
API Gateway 中区域、私有和 WebSocket API 终端节点支持的 SSL/TLS 协议和密码
下表介绍了可为区域、私有和 WebSocket API 终端节点指定的安全策略。
对于私有和 WebSocket API,只能指定 TLS-1-2。
| 安全策略 | TLS-1-0 | TLS-1-2 |
|---|---|---|
| TLS 协议 | ||
Protocol-TLSv1 |
♦ | |
Protocol-TLSv1.1 |
♦ | |
Protocol-TLSv1.2 |
♦ | ♦ |
| TLS 密码 | ||
ECDHE-ECDSA-AES128- GCM-SHA256 |
♦ | ♦ |
ECDHE-RSA-AES128- GCM-SHA256 |
♦ | ♦ |
ECDHE-ECDSA-AES128-SHA256 |
♦ | ♦ |
ECDHE-RSA-AES128-SHA256 |
♦ | ♦ |
ECDHE-ECDSA-AES128-SHA |
♦ | |
ECDHE-RSA-AES128-SHA |
♦ | |
ECDHE-ECDSA-AES256- GCM-SHA384 |
♦ | ♦ |
ECDHE-RSA-AES256- GCM-SHA384 |
♦ | ♦ |
ECDHE-ECDSA-AES256-SHA384 |
♦ | ♦ |
ECDHE-RSA-AES256-SHA384 |
♦ | ♦ |
ECDHE-RSA-AES256-SHA |
♦ | |
ECDHE-ECDSA-AES256-SHA |
♦ | |
AES128-GCM-SHA256 |
♦ | ♦ |
AES128-SHA256 |
♦ | ♦ |
AES128-SHA |
♦ | |
AES256-GCM-SHA384 |
♦ | ♦ |
AES256-SHA256 |
♦ | ♦ |
AES256-SHA |
♦ | |
DES-CBC3-SHA |
♦ | |
OpenSSL 和 RFC 密码名称
OpenSSL 和 IETF RFC 5246(传输层安全性 (TLS) 协议版本 1.2
| OpenSSL 密码名称 | RFC 密码名称 |
|---|---|
ECDHE-RSA-AES128- GCM-SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
ECDHE-RSA-AES128-SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
ECDHE-RSA-AES128-SHA |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
ECDHE-RSA-AES256- GCM-SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
ECDHE-RSA-AES256-SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
ECDHE-RSA-AES256-SHA |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
AES128-GCM-SHA256 |
TLS_RSA_WITH_AES_128_GCM_SHA256 |
AES256-GCM-SHA384 |
TLS_RSA_WITH_AES_256_GCM_SHA384 |
AES128-SHA256 |
TLS_RSA_WITH_AES_128_CBC_SHA256 |
AES256-SHA |
TLS_RSA_WITH_AES_256_CBC_SHA |
AES128-SHA |
TLS_RSA_WITH_AES_128_CBC_SHA |
DES-CBC3-SHA |
TLS_RSA_WITH_3DES_EDE_CBC_SHA |
RC4-MD5 |
TLS_RSA_WITH_RC4_128_MD5 |