使用 API Gateway 资源策略控制对 API 的访问 - Amazon API Gateway
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用 API Gateway 资源策略控制对 API 的访问

Amazon API Gateway 资源策略 是您附加到 API 用于控制指定的委托人(通常是 IAM 用户或角色)能否调用 API 的 JSON 策略文档。您可以使用 API Gateway 资源策略来允许 API 安全地被以下对象调用:

  • 指定的 Amazon 账户中的用户

  • 指定源 IP 地址范围或 CIDR 块

  • 指定的 Virtual Private Cloud (VPC) 或 VPC 终端节点(在任何账户中)。

您可以对 API Gateway 中的所有 API 终端节点类型使用资源策略:私有、边缘优化和区域。

对于 私有 API,您可以将资源策略与 VPC 终端节点策略一起使用,控制委托人有权访问哪些资源和操作。有关更多信息,请参阅 在 API Gateway 中为私有 API 使用 VPC 终端节点策略

您可以使用 Amazon Web Services Management Console、Amazon CLI 或 Amazon 开发工具包将资源策略附加到 API。

API Gateway 资源策略与基于 IAM 身份的策略不同。基于 IAM 身份的策略附加到 IAM 用户、组或角色并定义这些身份能够对哪些资源执行哪些操作。API Gateway 资源策略是附加到资源的。有关基于身份的策略与资源策略的区别的更详细讨论,请参阅基于身份的策略与基于资源的策略

您可以同时使用 API Gateway 资源策略和 IAM 策略。