API Gateway 中控制和管理对 REST API 的访问

您可以使用以下机制进行身份验证和授权：

资源策略允许您创建基于资源的策略，以允许或拒绝从指定的源 IP 地址或 VPC 终端节点访问您的 API 和方法。有关更多信息，请参阅使用 Amazon API Gateway 资源策略控制对 API 的访问。
标准 AWS IAM 角色和策略 提供灵活、稳健的访问控制，可应用于整个 API 或单个方法。IAM 角色和策略可用于控制谁可以创建和管理您的 API 以及谁可以调用它们。有关更多信息，请参阅使用 IAM 许可控制对 API 的访问。
IAM 标签可与 IAM 策略结合使用来控制访问权限。有关更多信息，请参阅使用标签控制对 API Gateway 资源的访问。
接口 VPC 终端节点的终端节点策略允许您将 IAM 资源策略附加到接口 VPC 终端节点，用于改进私有 API 的安全性。有关更多信息，请参阅在 API Gateway 中为私有 API 使用 VPC 终端节点策略。
Lambda 授权方是 Lambda 函数，它们使用持有者令牌身份验证以及由标头、路径、查询字符串、阶段变量或上下文变量请求参数描述的信息来控制对 REST API 方法的访问。Lambda 授权方用于控制谁可以调用 REST API 方法。有关更多信息，请参阅使用 API Gateway Lambda 授权方。
Amazon Cognito 用户池可让您为 REST API 创建可自定义的身份验证和授权解决方案。Amazon Cognito 用户池用于控制谁可以调用 REST API 方法。有关更多信息，请参阅使用 Amazon Cognito 用户池作为授权方控制对 REST API 的访问权限。

以下机制可用于执行与访问控制相关的其他任务：

跨源资源共享 (CORS) 可让您控制您的 REST API 响应跨域资源请求的方式。有关更多信息，请参阅为 API Gateway REST API 资源启用 CORS。
客户端 SSL 证书可用于验证发送到后端系统的 HTTP 请求是否来自 API Gateway。有关更多信息，请参阅生成和配置 SSL 证书用于后端身份验证。
AWS WAF 可用于保护您的 API Gateway API 免遭常见 Web 漏洞的攻击。有关更多信息，请参阅使用 AWS WAF 来保护 Amazon API Gateway API 免遭常见 Web 漏洞的攻击。

以下机制可用于跟踪和限制您已向授权客户端授予的访问权限：

使用计划可让您向客户提供 API 密钥 — 然后跟踪和限制每个 API 密钥的 API 阶段和方法的使用。有关更多信息，请参阅创建和使用带 API 密钥的使用计划。

The following mechanisms can be used for authentication and authorization:

Resource policies let you create resource-based policies to allow or deny access to your APIs and methods from specified source IP addresses or VPC endpoints. For more information, see Control Access to an API with Amazon API Gateway Resource Policies.
Standard AWS IAM roles and policies offer flexible and robust access controls that can be applied to an entire API or individual methods. IAM roles and policies can be used for controlling who can create and manage your APIs as well as who can invoke them. For more information, see Control Access to an API with IAM Permissions.
IAM tags can be used together with IAM policies to control access. For more information, see Using Tags to Control Access to API Gateway Resources.
Endpoint Policies for Interface VPC Endpoints allow you to attach IAM resource policies to interface VPC endpoints to improve the security of your private APIs. For more information, see Use VPC Endpoint Policies for Private APIs in API Gateway.
Lambda authorizers are Lambda functions that control access to REST API methods using bearer token authentication as well as information described by headers, paths, query strings, stage variables, or context variables request parameters. Lambda authorizers are used to control who can invoke REST API methods. For more information, see Use API Gateway Lambda Authorizers.
Amazon Cognito user pools let you create customizable authentication and authorization solutions for your REST APIs. Amazon Cognito user pools are used to control who can invoke REST API methods. For more information, see Control Access to a REST API Using Amazon Cognito User Pools as Authorizer.

原文地址：https://www.cnblogs.com/cloudrivers/p/11634999.html

时间： 2024-08-29 19:56:51

API Gateway 中控制和管理对 REST API 的访问的相关文章

在 API Gateway 中设置阶段 » 为 REST API 部署设置阶段变量Stage variables

阶段变量Stage variables是您可以定义为与 REST API 部署阶段关联的配置属性的名称-值对.它们与环境变量的功能类似,可用于 API 设置和映射模板. 使用 API Gateway 中的部署阶段,您可以管理各 API 的多个发布阶段,例如内部测试.测试和生产.通过阶段变量,您可以将 API 部署阶段配置为与不同的后端终端节点交互.例如,您的 API 可以将 GET 请求作为 HTTP 代理传递给后端 Web 主机 (例如 http://example.com).在这种情况下,后

[转载] 构建微服务：使用API Gateway

原文: http://mp.weixin.qq.com/s?__biz=MzA5OTAyNzQ2OA==&mid=206889381&idx=1&sn=478ccb35294c58d25d2df2d9ced65cf7&scene=1&key=c76941211a49ab586d79043cb87ac0dfeede574a20b2208ce76058b151624e4273182de582a786668ea347c6f317b389&ascene=0&

微服务实战（二）：使用API Gateway

[编者的话]本系列的第一篇介绍了微服务架构模式.它讨论了采用微服务的优点和缺点,除了一些复杂的微服务,这种模式还是复杂应用的理想选择. 当你决定将应用作为一组微服务时,需要决定应用客户端如何与微服务交互.在单体式程序中,通常只有一组冗余的或者负载均衡的服务提供点.在微服务架构中,每一个微服务暴露一组细粒度的服务提供点.在本篇文章中,我们来看它如何影响客户端到服务端通信,同时提出一种API Gateway的方法. 介绍假定你正在为在线购物应用开发一个原生手机客户端.你需要实现一个产品最终页来展示

gRPC helloworld service, RESTful JSON API gateway and swagger UI

概述本篇博文完整讲述了如果通过 protocol buffers 定义并启动一个 gRPC 服务,然后在 gRPC 服务上提供一个 RESTful JSON API 的反向代理 gateway,最后通过 swagger ui 来提供 RESTful JSON API 的说明,完整代码 helloworld_restful_swagger. Helloworld gRPC Service 参考 gRPC Quick Start for Python. Install gRPC 安装 gRPC 运

为 API Gateway REST API 资源启用 CORS

跨源资源共享 (CORS) 是一项浏览器安全功能,该功能限制从在浏览器中运行的脚本启动的跨源 HTTP 请求.如果您的 REST API 的资源接收非简单跨源 HTTP 请求,您需要启用 CORS 支持. 启用 CORS 支持意味着什么当浏览器接收非简单 HTTP 请求时,CORS 协议将要求浏览器在发送实际请求之前向服务器发送一个预检请求,并等待服务器的批准(或请求凭证).预检请求将向您的 API 显示为 HTTP 请求: 包含一个 Origin 标头. 使用 OPTIONS 方法. 包含

Using HAProxy as an API Gateway, Part 1 [Introduction]

转自:https://www.haproxy.com/blog/using-haproxy-as-an-api-gateway-part-1/ An API gateway handles load balancing, security, rate limiting, monitoring, and other cross-cutting concerns for API services. Read on to learn how HAProxy Enterprise excels as a

谈谈微服务中的 API 网关（API Gateway）

转载至:http://www.cnblogs.com/savorboard/p/api-gateway.html 背景我们知道在微服务架构风格中,一个大应用被拆分成为了多个小的服务系统提供出来,这些小的系统他们可以自成体系,也就是说这些小系统可以拥有自己的数据库,框架甚至语言等,这些小系统通常以提供 Rest Api 风格的接口来被 H5, Android, IOS 以及第三方应用程序调用. 但是在UI上进行展示的时候,我们通常需要在一个界面上展示很多数据,这些数据可能来自于不同的微服务中,举

引入控制FontFallBack功能的新API！PPT管理控件Aspose.Slides v19.10重磅来袭！

Aspose.Slides for .NET是一个独特的演示处理API,它允许应用程序读取.写入.修改和转换PowerPoint演示文稿.作为一个独立的API,它提供了管理PowerPoint关键功能的功能,如管理文本.形状.表格和动画.向幻灯片添加音频和视频.预览幻灯片等,而不需要Microsoft PowerPoint. Aspose.Slides for .NET更新至v19.10,支持从幻灯片形状占位符访问提示文本,支持转换为PDF/A后,图像呈现模糊效果,修复在PPT中添加SVG在Ub

JavaEE中的事务管理——事务划界

前面博文中大致介绍了一下事务,其实在企业应用服务器中事务是在不同的级别上存在的.比较简单的事务是最底层的事务,就是位于资源级别的事务管理.假设数据最终要存储在一个关系型数据库中,那么最底层的事务就是位于这里.我们把这种事务称之为资源本地事务(resource-localtransaction)在不用容器的大部分情况下开发人员要面对的事务都属于这里(其他的事务面对不到是因为水平不够!).理解了数据的事务之后来解决资源本地事务就易如反掌了.如果使用了企业应用服务器那么要处理的大多数事务就是JavaT