Amazon API Gateway 中的安全最佳实践

使用 IAM 策略实施最低权限访问，以创建、读取、更新或删除 API Gateway API。要了解更多信息，请参阅“适用于 Amazon API Gateway 的 Identity and Access Management”。API Gateway 提供了多个选项来控制对您创建的 API 的访问。要了解更多信息，请参阅在 API Gateway 中控制和管理对 REST API 的访问、控制和管理对 API Gateway 中 WebSocket API 的访问以及 使用 JWT 授权方控制对 HTTP API 的访问。

使用 CloudWatch Logs 或 Amazon Kinesis Data Firehose 将请求记录到您的 API。要了解更多信息，请参阅监控 REST API、配置 WebSocket API 的日志记录以及 配置 HTTP API 的日志记录。

使用 CloudWatch 警报，可以观看单个指标在指定时间段内的变化。如果指标超过给定阈值，则会向 Amazon Simple Notification Service 主题或 AWS Auto Scaling 策略发送通知。当指标处于特定状态时，CloudWatch 警报不会调用操作。而是必须在状态已改变并在指定的若干个时间段内保持不变后才调用。有关更多信息，请参阅 使用 Amazon CloudWatch 指标监控 REST API 执行。

CloudTrail 提供了用户、角色或 AWS 服务在 API Gateway 中所执行操作的记录。使用 CloudTrail 收集的信息，您可以确定向 API Gateway 发出了什么请求、发出请求的 IP 地址、何人发出的请求、请求的发出时间以及其他详细信息。有关更多信息，请参阅 使用 AWS CloudTrail 记录对 Amazon API Gateway API 的调用。

AWS Config 提供您账户中 AWS 资源配置的详细视图。您可以查看资源的关联方式、获取配置更改的历史记录并了解关系和配置如何随时间的推移而变化。您可以使用 AWS Config 来定义规则，用于评估资源配置的数据合规性。AWS Config 规则表示 API Gateway 资源的理想配置设置。如果某个资源违反了某规则并且被标记为“不合规”，则 AWS Config 可能提醒您使用 Amazon Simple Notification Service (Amazon SNS) 主题。有关详细信息，请参阅 使用 AWS Config 监控 API Gateway API 配置。