Amazon API Gateway 中的安全最佳实践
API Gateway 提供了在您开发和实施自己的安全策略时需要考虑的大量安全功能。以下最佳实践是一般准则,并不代表完整的安全解决方案。由于这些最佳实践可能不适合您的环境或不满足您的环境要求,因此将其视为有用的考虑因素而不是惯例。
- 实施最低权限访问
-
使用 IAM 策略实施最低权限访问,以创建、读取、更新或删除 API Gateway API。要了解更多信息,请参阅“适用于 Amazon API Gateway 的 Identity and Access Management”。API Gateway 提供了多个选项来控制对您创建的 API 的访问。要了解更多信息,请参阅在 API Gateway 中控制和管理对 REST API 的访问、控制和管理对 API Gateway 中 WebSocket API 的访问以及 使用 JWT 授权方控制对 HTTP API 的访问。
- 实施日志记录
-
使用 CloudWatch Logs 或 Amazon Kinesis Data Firehose 将请求记录到您的 API。要了解更多信息,请参阅监控 REST API、配置 WebSocket API 的日志记录以及 配置 HTTP API 的日志记录。
- 实施 Amazon CloudWatch 警报
-
使用 CloudWatch 警报,可以观看单个指标在指定时间段内的变化。如果指标超过给定阈值,则会向 Amazon Simple Notification Service 主题或 Amazon Auto Scaling 策略发送通知。当指标处于特定状态时,CloudWatch 警报不会调用操作。而是必须在状态已改变并在指定的若干个时间段内保持不变后才调用。有关更多信息,请参阅 使用 Amazon CloudWatch 指标监控 REST API 执行。
- 启用 Amazon CloudTrail
-
CloudTrail 提供了用户、角色或Amazon服务在 API Gateway 中所执行操作的记录。使用 CloudTrail 收集的信息,您可以确定向 API Gateway 发出了什么请求、发出请求的 IP 地址、何人发出的请求、请求的发出时间以及其他详细信息。有关更多信息,请参阅 使用 记录对 Amazon API Gateway API 的调用Amazon CloudTrail。
- 启用 Amazon Config
-
Amazon Config 可以提供关于您的账户中的 Amazon 资源配置的详细信息。您可以查看资源的关联方式、获取配置更改的历史记录并了解关系和配置如何随时间的推移而变化。您可以使用 Amazon Config 定义评估资源配置是否符合数据的规则。Amazon Config 规则代表 API Gateway 资源的理想配置设置。如果某个资源违反了某规则并且被标记为“不合规”,则 Amazon Config 可能提醒您使用 Amazon Simple Notification Service (Amazon SNS) 主题。有关详细信息,请参阅使用 Amazon Config 监控 API Gateway API 配置。