安全的Amazon Gateway API只能从S3存储桶中的内容访问

时间:2016-05-31 11:14:38

标签: amazon-web-services amazon-s3 aws-lambda

我有一个API,它通过亚马逊的Gateway API服务创建了公共互联网。 API调用触发查询后端数据库的Lambda函数。我创建的API由S3静态网页用于获取数据。

我想保护我的API,以便只有我的S3存储桶(index.html)的内容才有权访问我的API。我想阻止人们直接查询我的API并使用curl请求等来抓取数据。我已经阅读了一些关于IAM角色,Cognito和Lambda权限模型的内容,但我和#39;我不确定如何使用所有这些不同的工具来保护我的API。

保护我的API的最佳方法是什么,以便只有我的S3存储桶中的内容才有权访问我的API?

2 个答案:

答案 0 :(得分:6)

您无法真正授权S3访问API,因为S3无法访问您的API - S3会将html(js / css和其他静态资源)传递给访问您网站的用户的客户端(Web浏览器)。然后,从客户端调用您的API。

另外,亚马逊强制要求API网关公开(有意义但你不能在VPC背后有API)

我建议您仔细阅读Security and Authorization of the FAQ

你可以做什么:

  • 签署对API网关的请求,但是需要有其他东西为客户端生成html代码(就我所知,S3本身不能做到这一点但我喜欢错误
  • Amazon API Gateway可以生成客户端SSL证书以验证后端的请求
  • 设置了一些限制(见下文)

如果您害怕滥用,也可以阅读常见问题解答

  

问:如何解决或阻止API威胁或滥用?

     

Amazon API Gateway支持每个方法的限制设置   你的API。您可以设置标准速率限制和突发速率限制   每秒REST API中的每个方法。此外,亚马逊API   Gateway自动保护您的后端系统免受分布式攻击   拒绝服务(DDoS)攻击,无论是否使用伪造攻击   请求(第7层)或SYN泛洪(第3层)。

答案 1 :(得分:2)

根据您的设置,您可以尝试在API网关的condition keys中使用一个或多个AWS Resource Policy。例如,您只能允许引荐来源为您的S3静态网站的请求:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": [
                "execute-api:/{{stageNameOrWildcard*}}/{{httpVerbOrWildcard*}}/{{resourcePathOrWildcard*}}"
            ],
            "Condition": {
                "StringLike": {
                    "aws:Referer": [
                        "<bucket-name>.s3-website-<AWS-region>.amazonaws.com/*"
                    ]
                }
            }
        }
    ]
}
相关问题
最新问题