Amazon API Gateway
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

使用 Amazon API Gateway 资源策略控制对 API 的访问

Amazon API Gateway 资源策略是您附加到 API 用于控制指定的委托人(通常是 IAM 用户或角色)能否调用 API 的 JSON 策略文档。您可以使用 API Gateway 资源策略来允许 API 安全地被以下对象调用:

  • 指定 AWS 账户中的用户

  • 指定源 IP 地址范围或 CIDR 块

  • 指定的 Virtual Private Cloud (VPC) 或 VPC 终端节点(在任何账户中)

您可以对 API Gateway 中的所有 API 终端节点类型使用资源策略:私有、边缘优化和区域。

对于 私有 API,您可以将资源策略与 VPC 终端节点策略一起使用,控制委托人有权访问哪些资源和操作。有关更多信息,请参阅 在 API Gateway 中为私有 API 使用 VPC 终端节点策略

您可以使用 AWS 控制台、AWS CLI 或 AWS 开发工具包将资源策略附加到 API。

API Gateway 资源策略不同于 IAM 策略。IAM 策略将附加到 IAM 实体(用户、组或角色)并定义这些实体能够执行哪些操作的资源。API Gateway 资源策略附加到资源。有关基于身份的策略(IAM 策略)与资源策略的区别的更详细讨论,请参阅基于身份的策略与基于资源的策略

您可以同时使用 API Gateway 资源策略和 IAM 策略。