本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon API Gateway 中的安全最佳实践
API Gateway 提供了在您开发和实施自己的安全策略时需要考虑的大量安全功能。以下最佳实践是一般准则,并不代表完整的安全解决方案。由于这些最佳实践可能不适合您的环境或不满足您的环境要求,因此将其视为有用的考虑因素而不是惯例。
- 实施最低权限访问
-
使用 IAM 策略实施最低权限访问,以创建、读取、更新或删除 API Gateway API。要了解更多信息,请参阅“适用于 Amazon API Gateway 的 Identity and Access Management”。API Gateway 提供了多个选项来控制对您创建的 API 的访问。要了解更多信息,请参阅在 API Gateway 中控制和管理对 REST API 的访问、在 API Gateway 中控制和管理对 WebSocket API 的访问权限以及 使用 JWT 授权方控制对 HTTP API 的访问。
- 实施日志记录
-
使用 CloudWatch Logs 或 Amazon Data Firehose 记录对您的 API 的请求。要了解更多信息,请参阅监控 REST API、配置 WebSocket API 的日志记录以及 配置 HTTP API 的日志记录。
- 实施 Amazon CloudWatch 警报
-
使用 CloudWatch 警报,您可以监视您指定的时间段内的单个指标。如果指标超过给定阈值,则会向 Amazon 简单通知服务主题或 Amazon Auto Scaling 政策发送通知。 CloudWatch 当指标处于特定状态时,警报不会调用操作。而是必须在状态已改变并在指定的若干个时间段内保持不变后才调用。有关更多信息,请参阅使用 Amazon CloudWatch 指标监控 REST API 执行。
- 启用 Amazon CloudTrail
-
CloudTrail 提供用户、角色或 Amazon 服务在 API Gateway 中执行的操作的记录。使用收集的信息 CloudTrail,您可以确定向 API Gateway 发出的请求、发出请求的 IP 地址、谁发出了请求、何时发出请求以及其他详细信息。有关更多信息,请参阅使用 记录对 Amazon API Gateway API 的调用Amazon CloudTrail。
- 启用 Amazon Config
-
Amazon Config 提供了您账户中 Amazon 资源配置的详细视图。您可以查看资源的关联方式、获取配置更改的历史记录并了解关系和配置如何随时间的推移而变化。您可以使用 Amazon Config 来定义用于评估资源配置的数据合规性的规则。 Amazon Config 规则代表您的 API Gateway 资源的理想配置设置。如果某个资源违反规则并被标记为不合规,则 Amazon Config 可以使用亚马逊简单通知服务 (Amazon SNS) Simple SNS Service 主题提醒您。有关更多信息,请参阅 使用 Amazon Config 监控 API Gateway API 配置。
- 使用 Amazon Security Hub
-
监控 API Gateway 的使用情况,因为它与使用 Amazon Security Hub 的安全最佳实践相关。Security Hub 使用安全控件来评估资源配置和安全标准,以帮助您遵守各种合规框架。有关使用 Security Hub 评估 API Gateway 资源的更多信息,请参阅《Amazon Security Hub 用户指南》中的 Amazon API Gateway 控件。