Amazon API Gateway 中的安全最佳实践

使用 IAM 策略实施最低权限访问，以创建、读取、更新或删除 API Gateway API。要了解更多信息，请参阅“适用于 Amazon API Gateway 的 Identity and Access Management”。API Gateway 提供了多个选项来控制对您创建的 API 的访问。要了解更多信息，请参阅在 API Gateway 中控制和管理对 REST API 的访问、在 API Gateway 中控制和管理对 WebSocket API 的访问以及 使用 JWT 授权方控制对 HTTP API 的访问。

使用 CloudWatch Logs 或 Amazon Data Firehose 记录对 API 的请求。要了解更多信息，请参阅监控 API Gateway 中的 REST API、为 API Gateway 中的 WebSocket API 配置日志记录以及 为 API Gateway 中的 HTTP API 配置日志记录。

使用 CloudWatch 警报，可以观看单个指标在指定时间段内的变化。如果指标超过给定阈值，则会向 Amazon Simple Notification Service 主题或 Amazon Auto Scaling 策略发送通知。当指标处于特定状态时，CloudWatch 警报不会调用操作。而是必须在状态已改变并在指定的若干个时间段内保持不变后才调用。有关更多信息，请参阅 使用 Amazon CloudWatch 指标监控 REST API 执行。

CloudTrail 提供了用户、角色或Amazon服务在 API Gateway 中所执行操作的记录。使用 CloudTrail 收集的信息，您可以确定向 API Gateway 发出了什么请求、发出请求的 IP 地址、何人发出的请求、请求的发出时间以及其他详细信息。有关更多信息，请参阅 使用 Amazon CloudTrail 记录 Amazon API Gateway API 调用。

Amazon Config 可以提供关于您的账户中的 Amazon 资源配置的详细信息。您可以查看资源的关联方式、获取配置更改的历史记录并了解关系和配置如何随时间的推移而变化。您可以使用 Amazon Config 定义评估资源配置是否符合数据的规则。Amazon Config 规则代表 API Gateway 资源的理想配置设置。如果某个资源违反了某规则并且被标记为“不合规”，则 Amazon Config 可能提醒您使用 Amazon Simple Notification Service (Amazon SNS) 主题。有关详细信息，请参阅使用 Amazon Config 监控 API Gateway API 配置。

监控 API Gateway 的使用情况，因为它与使用 Amazon Security Hub 的安全最佳实践相关。Security Hub 使用安全控件来评估资源配置和安全标准，以帮助您遵守各种合规框架。有关使用 Security Hub 评估 API Gateway 资源的更多信息，请参阅《Amazon Security Hub 用户指南》中的 Amazon API Gateway 控件。