Назад | Перейти на главную страницу

Списки доступа API Gateway и VPC

Насколько я понимаю, управление доступом IP-адреса к API-шлюзу AWS осуществляется через Политика ресурсов.

Это не кажется идеальным вариантом, поскольку требует развертывания API каждый раз, когда требуется новый доступ (проблемы с контролем изменений). Можно ли отделить этот доступ от элемента API и добавить в политику списка доступа VPC?

Итак, есть ли способ контролировать доступ к шлюзу API через списки доступа к сети в VPC?

Чтобы ответить на ваш прямой вопрос, нет, вы не можете контролировать доступ к API-шлюзу через NACL

Есть пять способов управления доступом к API Gateway. Если это частный API, вы можете создать политику конечных точек [4]. Если он общедоступный, вы можете использовать 2,5 или 6 ниже или настроить AWS WAF и определите там IP-адреса.

  1. Политика ресурсов
  2. Стандартные роли и политики AWS IAM
  3. Теги IAM
  4. Политики конечных точек для интерфейсных конечных точек VPC
  5. Лямбда-авторизаторы
  6. Пулы пользователей Amazon Cognito

https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-to-api.html