Amazon API Gateway 中的安全最佳实践 - Amazon API Gateway
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Amazon API Gateway 中的安全最佳实践

API Gateway 提供了您在开发和实施自己的安全策略时需要考虑的许多安全功能。以下最佳实践是一般准则,并不代表完整的安全解决方案。由于这些最佳实践可能不适合您的环境或不满足您的环境要求,因此将其视为有用的考虑因素而不是惯例。

实施最低权限访问

使用 IAM 策略实施最低权限访问,以创建、读取、更新或删除 API Gateway API。要了解更多信息,请参阅 适用于 Amazon API Gateway 的 Identity and Access Management。API Gateway 提供了多个选项来控制对您创建的 API 的访问。要了解更多信息,请参阅控制和管理对 API Gateway 中 REST API 的访问控制和管理对 API Gateway 中 WebSocket API 的访问以及 使用 JWT 授权方控制对 HTTP API 的访问

实施日志记录

使用 CloudWatch Logs 或 Amazon Kinesis Data Firehose 记录对您的 API 的请求。要了解更多信息,请参阅监控 REST API为 WebSocket API 配置日志记录以及 为 HTTP API 配置日志记录

实施 Amazon CloudWatch 警报

使用 CloudWatch 警报,您可在指定时间段内监控某个指标。如果该指标超出指定阈值,则会向 Amazon Simple Notification Service 主题或 AWS Auto Scaling 策略发送通知。CloudWatch 警报不会因为某个指标处于特定状态就调用操作,而是必须在状态已改变并在指定的若干个时间段内保持不变后才调用。有关更多信息,请参阅使用 Amazon CloudWatch 指标监控 REST API 的执行

启用 AWS CloudTrail

CloudTrail 提供了用户、角色或 AWS 服务在 API Gateway 中所执行操作的记录。通过使用 CloudTrail 收集的信息,您可以确定向 API Gateway 发出了什么请求、发出请求的 IP 地址、何人发出的请求、请求的发出时间以及其他详细信息。有关更多信息,请参阅使用 AWS CloudTrail 记录对 Amazon API Gateway API 的调用

启用 AWS Config

AWS Config 可以提供关于您的账户中的 AWS 资源配置的详细信息。您可以查看资源的关联方式、获取配置更改的历史记录并了解关系和配置如何随时间的推移而变化。您可以使用 AWS Config 定义评估资源配置是否符合数据的规则。AWS Config 规则代表 API Gateway 资源的理想配置设置。如果某个资源违反了某规则并且被标记为“不合规”,则 AWS Config 可能提醒您使用 Amazon Simple Notification Service (Amazon SNS) 主题。有关详细信息,请参阅 使用 AWS Config 监控 API Gateway API 配置