是否可以在AWS API Gateway上设置客户端TLS身份验证?
我并不是说在API网关和Elastic Beanstalk之间,如here所述,而是在客户端和API网关本身之间,可能有一个自定义授权者(例如Lambda)在执行之前检查证书的有效性。将请求转发到Elastic Beanstalk。
答案 0 :(得分:-1)
您可以通过为api创建自定义域名并将cert添加到自定义域名来实现此目的
您可以在此处为自定义域设置证书-
要为边缘优化的自定义域名提供证书,您可以请求AWS Certificate Manager(ACM)在ACM中生成新证书或将由第三方证书颁发机构颁发的证书导入ACM。
要为支持ACM的区域中的区域自定义域名提供证书,必须从ACM申请证书。要为不支持ACM的区域中的区域自定义域名提供证书,必须将证书导入该区域中的API Gateway。
要导入SSL / TLS证书,必须提供PEM格式的SSL / TLS证书正文,其私钥以及自定义域名的证书链。 ACM中存储的每个证书均由其ARN标识。要将AWS管理的证书用于域名,您只需引用其ARN。
通过ACM,可以轻松设置和使用API的自定义域名:在给ACM中创建给定域名的证书或将其导入到ACM中,使用提供的证书的ARN在API网关中设置域名ACM,并将自定义域名下的基本路径映射到API的部署阶段。使用ACM颁发的证书,您不必担心暴露任何敏感的证书详细信息,例如私钥。
参考:https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-custom-domains.html