AWS API Gateway 有两个版本:
- REST 版本
- HTTP 版本 (v2)
我正在使用带有 lambda 授权程序的较新 HTTP 版本,并希望保护我的暂存/测试环境免受外部请求的影响。一种想法是在 API 网关前面放一个 WAF,但遗憾的是只有 REST 版本的网关支持 WAF。
有关如何保护这些资源以便只能从特定 IP 范围访问它们的任何建议?(公司VPN)
问问题
103 次
2 回答
3
使用 API Gateway 时,HTTP API 类型缺少一些我们在与 REST API 比较时可用的安全选项,如下表所示:
| 安全 | HTTP API | REST API |
|---|---|---|
| 双向 TLS 身份验证 | ✓</td> | ✓</td> |
| 后端认证证书 | ✓</td> | |
| AWS WAF | ✓</td> | |
| 资源政策 | ✓</td> |
完整的比较可以在这里找到。
为了保护您的 HTTP API 免受某些威胁,例如恶意用户或流量高峰,API Gateway 默认提供设置限制目标或/和启用双向 TLS 的选项。
要了解有关这些默认选项的更多信息,请查看此页面Protecting your HTTP API。
如果你想使用 WAF,你可以创建一个与 ALB 的私有集成,它支持 WAF,这意味着你可以在享受 WAF 的好处的同时仍然享受 HTTP API 的低成本和更高的性能。
您的架构可能与以下架构类似:
要了解有关这些集成的更多信息,请查看此页面:设计 Amazon API Gateway 私有 API 和私有集成的最佳实践。
于 2022-02-14T23:27:47.250 回答
0
aws:SourceVpc您可以使用标签和aws:SourceVpce在 Api 资源策略中创建私有 Api 网关。
于 2022-02-10T18:39:10.860 回答