Amazon AppSync 的最佳实践 - Amazon AppSync
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon AppSync 的最佳实践

保护Amazon AppSync不仅仅是打开几个杠杆或设置日志记录。以下各节讨论的最佳做法取决于您对服务的使用情况和使用方式的不同。

了解验证方法

Amazon AppSync有多种方法可以通过 GraphQL API 对用户进行身份验证。每个方面都在安全性、可审计性和可用性方面都有权衡。

可以使用以下常见的身份验证机制:

  • Amazon Cognito 用户池允许您的 GraphQL API 使用用户属性进行精细访问控制和筛选。

  • API 令牌的生命周期有限,适用于自动化系统,例如持续集成系统、与外部 API 的集成等。

  • Amazon Identity and Access Management(IAM) 适用于在您的下面管理的内部应用程序Amazonaccount.

  • OpenID Connect 允许通过 OpenID Connect 协议控制和联合访问权限。

有关身份验证和授权的更多信息,请Amazon AppSync,请参阅授权和身份验证

对 HTTP 解析器使用 TLS

使用 HTTP 解析器时,请确保尽可能使用 TLS 安全 (HTTPS) 连接。有关受信任的 TLS 证书的完整列表Amazon AppSync,请参阅已由认可的证书颁发机构 (CA)Amazon AppSync针对 HTTPS 终端节点.

使用权限最少的角色

当使用解析器时,例如DynamoDB 解析器中,使用尽可能为 DynamoDB 表提供最严格的视图的角色。尽可能使用角色来限制视图Amazon AppSync必须与您的资源交互。