Amazon API Gateway 中的安全最佳实践

使用 IAM 策略实施最低权限访问，以创建、读取、更新或删除 API Gateway API。要了解更多信息，请参阅 适用于 Amazon API Gateway 的 Identity and Access Management。API Gateway 提供了多个选项来控制对您创建的 API 的访问。要了解更多信息，请参阅控制和管理对 API Gateway 中 REST API 的访问、控制和管理对 API Gateway 中 WebSocket API 的访问以及 使用 JWT 授权方控制对 HTTP API 的访问。

使用 CloudWatch Logs 或 Amazon Kinesis Data Firehose 记录对您的 API 的请求。要了解更多信息，请参阅监控 REST API、为 WebSocket API 配置日志记录以及 为 HTTP API 配置日志记录。

使用 CloudWatch 警报，您可在指定时间段内监控某个指标。如果该指标超出指定阈值，则会向 Amazon Simple Notification Service 主题或 AWS Auto Scaling 策略发送通知。CloudWatch 警报不会因为某个指标处于特定状态就调用操作，而是必须在状态已改变并在指定的若干个时间段内保持不变后才调用。有关更多信息，请参阅使用 Amazon CloudWatch 指标监控 REST API 的执行。

CloudTrail 提供了用户、角色或 AWS 服务在 API Gateway 中所执行操作的记录。通过使用 CloudTrail 收集的信息，您可以确定向 API Gateway 发出了什么请求、发出请求的 IP 地址、何人发出的请求、请求的发出时间以及其他详细信息。有关更多信息，请参阅使用 AWS CloudTrail 记录对 Amazon API Gateway API 的调用。

AWS Config 可以提供关于您的账户中的 AWS 资源配置的详细信息。您可以查看资源的关联方式、获取配置更改的历史记录并了解关系和配置如何随时间的推移而变化。您可以使用 AWS Config 定义评估资源配置是否符合数据的规则。AWS Config 规则代表 API Gateway 资源的理想配置设置。如果某个资源违反了某规则并且被标记为“不合规”，则 AWS Config 可能提醒您使用 Amazon Simple Notification Service (Amazon SNS) 主题。有关详细信息，请参阅 使用 AWS Config 监控 API Gateway API 配置。