本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 API Gateway 资源策略控制对 API 的访问
Amazon API Gateway 资源策略是您附加到 API 的 JSON 策略文档,用于控制指定的主体(通常是 IAM 角色或组)能否调用 API。您可以使用 API Gateway 资源策略来允许 API 安全地被以下对象调用:
-
来自指定 Amazon 账户的用户。
-
指定源 IP 地址范围或 CIDR 块
-
指定的 Virtual Private Cloud (VPC) 或 VPC 终端节点(在任何账户中)。
您可以对 API Gateway 中的所有 API 终端节点类型使用资源策略:私有、边缘优化和区域。
对于 私有 API,您可以将资源策略与 VPC 终端节点策略一起使用,控制委托人有权访问哪些资源和操作。有关更多信息,请参阅在 API Gateway 中为私有 API 使用 VPC 终端节点策略。
您可以使用 Amazon Web Services Management Console、CLI 或 Amazon 软件开发工具包将资源策略附加到 AP Amazon I。
API Gateway 资源策略与基于 IAM 身份的策略不同。基于 IAM 身份的策略附加到 IAM 用户、组或角色并定义这些身份能够对哪些资源执行哪些操作。API Gateway 资源策略是附加到资源的。有关基于身份的策略与资源策略的区别的更详细讨论,请参阅基于身份的策略与基于资源的策略。
您可以同时使用 API Gateway 资源策略和 IAM 策略。