AWS API Gateway IP 流量限制 - 使用 DNS 而不是 IP 地址

【问题标题】:AWS API Gateway IP traffic restrictions - using DNS instead of IP addressAWS API Gateway IP 流量限制 - 使用 DNS 而不是 IP 地址
【发布时间】:2019-05-20 11:05:36
【问题描述】:

我目前有一个 AWS API Gateway,它被客户端用作客户端 API 应用程序的依赖资源。客户端的 API 应用程序当前托管在 Azure 中并且是负载平衡的。

鉴于 AWS API Gateway 的资源策略基于源 IP 地址或范围应用允许/拒绝 API 流量,我是否可以使用客户端的托管 DNS 而不是实际 IP 地址作为策略中的 IP 项条目(请参阅下面的策略示例)? 

{
"Version": "2012-10-17",
"Statement": [
    {
        "Effect": "Allow",
        "Principal": "*",
        "Action": "execute-api:Invoke",
        "Resource": [
            "arn:aws:execute-api:region:account-id:api-id/*"
        ]
    },
    {
        "Effect": "Allow",
        "Principal": "*",
        "Action": "execute-api:Invoke",
        "Resource": [
           "arn:aws:execute-api:region:account-id:api-id/*"
        ],
        "Condition" : {
            "IpAddress": {
                "aws:SourceIp": ["192.0.2.0/24", "clientsite.azurewebsites.net" ]
            }
        }
    }
]

}

如果不是,允许云托管应用程序访问 AWS API Gateway 资源的更好方法是什么?

非常感谢!

【问题讨论】:

    标签: amazon-web-services aws-api-gateway


    【解决方案1】:

    AWS 文档指出

    aws:SourceIp 键。该值必须采用标准 CIDR 格式(例如,203.0.113.0/24 或 2001:DB8:1234:5678::/64)

    所以我怀疑它不会起作用。

    在 API 网关级别保护请求的其他方法

    • API 使用者可以签署请求(您必须提供密钥),或者
    • API 使用者可以强制其所有流量通过一个 IP(使用 Azure 中等效的 NAT 网关)
    • API 使用者可以使用API key you provide 之一

    【讨论】:

      猜你喜欢
      • 2018-10-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2016-12-09
      • 1970-01-01
      • 2019-07-09
      • 2019-10-20
      • 2020-12-09
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode