Kann ich festlegen, HTTP-Endpunkt in einer VPC, die als Ressourcen in der AWS-API-Gateway?

Habe ich die situation, wenn mein Produkt(einige Web-API), ist das Leben innerhalb von VPC, D. H. ohne irgendeinen externen Zugriff. Ich würde gerne, um das Teil freizulegen dieser APIs(nur ein paar von HTTP-Methoden) werden aus dem internet erreichbar. Ich bin versucht, dies zu erreichen über die AWS-API-Gateway, aber wie es aussieht, kann ich nicht machen interne ELB Endpunkt der API-Gateway-Ressource. Irgendwelche Ideen, wie kann ich dies tun?

Dank,
--Vovan

InformationsquelleAutor Vovan Kuznetsov | 2015-09-19
  1. 11

    Dies war ursprünglich nicht möglich, und dann gelöst wurde mit Unterstützung für client-Zertifikate, die API-Gateway verwenden könnte, um authentifizieren zu Ihren Diensten. Dies war eine gute Lösung, und ist noch erhältlich, aber immer noch erforderlich, Ihre Dienste werden ausgesetzt-zumindest in gewissem Sinne-an das Internet.

    Im November 2017, AWS veröffentlicht eine neue Funktion, mit der Sie eigentlich die Bereitstellung eines Netzwerk-Pfades zwischen API Gateway und internen Dienstleistungen.

    Können Sie nun Zugriff auf HTTP(S) Ressourcen innerhalb Ihrer Amazon Virtual Private Cloud (VPC), ohne dass diese direkt mit dem öffentlichen Internet. Sie können API-Gateway zu erstellen, die eine API-Endpunkt, der integriert ist mit Ihrer VPC. Erstellen Sie einen Endpunkt zu Ihrer VPC einrichten, indem Sie eine VPC-Verbindung zwischen Ihrer VPC und einem Network Load Balancer (NLB), die von Elastic Load Balancing.

    https://aws.amazon.com/about-aws/whats-new/2017/11/amazon-api-gateway-supports-endpoint-integrations-with-private-vpcs/

    Historischen Kontext folgt.

    Wie jetzt, es gibt keine einfache und sichere Weg, dies zu tun, weil Sie Ihre Dienste, die zugänglich zu API-Gateway zugänglich sein müssen, über/für die öffentlichkeit ausgesetzt Internet und gibt es keinen eingebauten Mechanismus Vertrauen, indem Sie die können Sie versichert sein, dass solch eine Anfrage eigentlich stammt aus alle API-Gateway-Implementierung, viel weniger Ihre API-Gateway-Bereitstellung.

    Amazon scheint das Problem gelöst, der die Authentifizierung anfordert, um Ihre back-end-Dienste als gewiss kommen, nicht nur aus der API-Gateway, aber von Ihre API-Gateway-Instanz. Wie vor, Endpunkte noch aus dem Internet ausgesetzt, da die Quell-IP-Adresse ist nicht vorhersehbar-aber API-gateway unterstützt jetzt SSL-client-Zertifikate, die die back-Seite von API-Gateway authentifizieren sich der front-side-back-end-Dienst, die API-gateway aufrufen.

    F: Können Amazon-API-Gateway arbeiten, die innerhalb einer Amazon VPC?

    Nicht. Amazon-API-Gateway Endpunkte sind immer öffentlich auf dem Internet. Proxy-Anfragen an backend-Operationen müssen auch öffentlich über das Internet zugänglich. Jedoch erzeugen Sie ein client-side-SSL-Zertifikat in der Amazon-API-Gateway, um zu überprüfen, dass die Anforderungen an Ihre backend-Systeme gesendet wurden, die von API-Gateway mit dem öffentlichen Schlüssel des Zertifikats.

    Q: Kann ich überprüfen, ob es API-Gateway, ruft mein backend?

    Ja. Amazon-API-Gateway generiert eine client-side-SSL-Zertifikat und den öffentlichen Schlüssel des Zertifikats zur Verfügung. Anrufe an Ihre backend gemacht werden können mit dem erzeugten Zertifikat, und Sie können überprüfen, Anrufe, die von Amazon-API-Gateway mit dem öffentlichen Schlüssel des Zertifikats.

    https://aws.amazon.com/api-gateway/faqs/#security

    Wenn Sie erzeugen ein client-Zertifikat in die API-Gateway-Konsole, sind Sie mit dem öffentlichen Schlüssel für das Zertifikat. Für die Sicherheit, der private Schlüssel verbleibt API-Gateway und ist für Sie nicht zugänglich. API-Gateway wird den öffentlichen Schlüssel, um Ihre back-end bei der Aushandlung von SSL. Jeder peer nicht präsentiert, die gleichen öffentlichen Schlüssel ist nicht API-gateway, und Ihre back-end ist, soll verweigern SSL-Aushandlung.

    Wenn eine schädliche Schauspieler, der jemals in den Besitz des öffentlichen Schlüssels, würden Sie nicht immer noch in der Lage zu kommunizieren mit Ihren back-end über SSL, weil Sie würde fehlen die gesteckten privaten Schlüssel, der nur bekannt API-Gateway. (Ihre Seite der Interaktion wäre verschlüsselt unter Verwendung des SSL-Zertifikats und es ist verpaart privaten Schlüssel, das ist selbstverständlich nur Ihnen bekannt ist.)

    Diese Fähigkeit-Adressen, was bisher zu sein schien, eine erhebliche Einschränkung der utility-API-Gateway, HTTP-proxy-Funktionalität... eine Beschränkung dieser Bedeutung, in der Tat, dass, als ich entdeckte, die überarbeiteten Informationen vor, begann ich zu zweifeln: Hatte diese schon immer da gewesen, und ich hatte es irgendwie geschafft, es zu übersehen? Die Wayback Machine sagt, Nein, es ist neu. Diese information wurde Hinzugefügt im September 2015.

    • Als der vor ein paar Wochen, Amazon hat angekündigt, dass Sie werden das hinzufügen von Unterstützung für die Ausrichtung VPC-Ressourcen von lambda. Dies scheint eine weitere alternative zu entlarven select-Methoden Ihre privaten api zu einer öffentlichen Endpunkt der via Gateway, und es ist die lambda-integration. aws.amazon.com/blogs/aws/...
    • Dies ist ein guter Punkt. Ich sah, wie die re:Invent 2015 live-keynote webcast doch ich erinnere mich nicht, Hör in diesem Punkt VPC-integration. Jetzt erkenne ich, dass, wenn Dr. Vogels fing an, über python, ich nahm nichts sinnvolles diskutiert werden würde für mehrere Minuten, so dass ich eine Pause machte, um zu Fuß um und Strecken. 🙂 Ich werde diese zu aktualisieren, wenn diese Funktionalität eröffnet.
    • Gut zu wissen, jedoch unter Verwendung der client-Zertifikate für die Authentifizierung, sieht mehr aus wie umgehen, keine wirkliche Antwort. Die internen APIs sind weiterhin ausgesetzt, von außen nichts schützt es von einigen DOS-Angriffe wie syn-flood, etc
    • Stimme dem obigen poster. Eines der netten features der API-Gateway ist, dass es schützt die api von einigen DOS-Attacken. Aber ich sehe nicht den Sinn, in diesem ist die Backend-EC2-Instanzen auch über das internet verfügbar. API-Gateway funktioniert wie Elastic Load balancer und die Arbeit mit Ihrem VPC.
    • Wie bereits erwähnt, Lambda-Funktionen kann nun auf die Ressourcen zugreifen, die direkt in VPC. Ähnliche Integrationen API-gateway nicht erwähnt wurden, aber vielleicht kommen die Zander. Natürlich könnte man mit API-gateway > Lambda > VPC-Ressourcen, mit einem entsprechenden Anstieg der Kosten und Komplexität. Ihre API-Schnittstelle könnten auch die Firewall von allen, aber die AWS-IP-Adressraum für Ihre region, sicherzustellen, dass die SYN-floods, etc., konnte nur entstehen aus innerhalb von AWS, der sollte sich schnell Herunterfahren, berichtete einmal zu den AWS support.
    InformationsquelleAutor Michael - sqlbot
  2. 3

    Es ist eher ein Umweg, aber Sie können Ihre proxy-Web-service Endpunkte, die in einer VPC, die durch eine Lambda-Funktion. Das Lambda-Funktion kann direkt aufgerufen werden von der API-Gateway. Dieser blog post gibt details, wie das zu tun.

    • Bitte helfen Sie verbessern Ihre Antworten durch das hinzufügen von Beispielen und nicht einfach nur links zu anderen Beiträgen. Dank
    • Keine Notwendigkeit zu solch einer straftat, stieß ich auf diesen thread und fand die ganze Sache jedoch nützlich, hätte gern ein Beispiel für das, was Sie erklärt. Nur das Gefühl eine vollständige Antwort wäre gewesen, dass viel mehr nützlich.
    InformationsquelleAutor occasl
Schreibe einen Kommentar