AWS API Gateway 与资源策略 V.S.使用 VPC 端点

【问题标题】:AWS API Gateway with resource policy V.S. with VPC EndpointAWS API Gateway 与资源策略 V.S.使用 VPC 端点
【发布时间】:2022-01-12 08:19:06
【问题描述】:

我正在尝试使用 AWS API Gateway 创建私有 API。据我了解,我有 2 个选项来实施私有 API 网关,1) 使用 API 网关资源策略限制源和 2) 使用 VPC 端点限制 VPC 中的源。

我的问题是:对于选项 1,我可以在资源策略中设置条件以仅允许来自特定 VPC 的流量并达到与选项 2 相同的结果吗?

# API Gateway resource policy
{
  ...

  "Condition": {
    "StringEquals: {
      "aws:sourceVpc": "vpc-123abc"
    }
  }
}

如果是,它们之间有什么不同?采用 VPC Endpoint 实现私有 API 网关有什么优势?

【问题讨论】:

  • 选项 1 似乎不起作用。它必须创建一个 VPC Endpoint 来限制源 VPC。条件“aws:sourceVpc”是否仅适用于 VPC Endpoint?

标签: amazon-web-services aws-api-gateway vpc-endpoint


【解决方案1】:

您可以使用以下方式访问私有 API 网关:How to invoke a private API

在您的案例中适用于 VPC 端点的条件是 aws:SourceVpce,此处是您在 aws 账户中部署的 execute-api 端点的 ID。您可以在此处找到 AWS 全局条件上下文键列表:AWS global condition context keys

【讨论】:

  • 我可以使用账户 A 中的 VPC Endpoint 访问账户 B 中的私有 API 网关吗?提前致谢!
  • 当然可以。在这种情况下,您需要在账户 B 私有 API 网关资源的策略中授权项目 A vpc-id。条件将如下所示:"StringEquals: { aws:sourceVpce": "PROJECT_A_VPCE_ID" }
  • 我读到一些解决方案使用 VPC Endpoint Service 作为私有 API Gateway 的入口,而在另一个帐户中,使用 VPC Endpoint 访问私有 API Gateway。采用 VPC Endpoint Service 有什么优势? (类似于this
猜你喜欢
  • 2020-08-21
  • 1970-01-01
  • 2021-02-20
  • 2022-01-09
  • 2018-09-28
  • 2018-02-07
  • 2020-07-01
  • 2018-10-03
  • 2021-05-29
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode