我想通过AWS上的相互身份验证来保护REST API。这意味着,只有具有特定客户端证书的客户端才可以访问API。通过相互身份验证在AWS上保护REST API的最佳方法是什么?
我知道,有client certificate support for API Gateway,但这不是我想要的。据我了解,这仅针对后端对Api网关进行身份验证,而无法对Api网关进行客户端身份验证。
Api Gateway,负载均衡器或任何其他AWS产品是否能够进行相互身份验证以保护其余API,还是我需要自己实现?
答案 0 :(得分:3)
自2020年9月17日起,AWS API网关https://aws.amazon.com/about-aws/whats-new/2020/09/amazon-api-gateway-supports-mutual-tls-authentication/上提供了使用TLS进行相互身份验证的支持。它可用于验证在API网关上调用API的客户端。
答案 1 :(得分:0)
您必须在服务器上执行此操作。
没有任何一种可以终止TLS并将请求或连接转发到您的应用层的服务-Elastic Load Balancer(经典,应用程序和网络),CloudFront或API网关-支持TLS相互认证。
当然,没有TLS终止的网络负载平衡器或TCP模式下的经典负载平衡器将传递您的有效负载(无论它是什么),因此这两种负载都可以在服务器前使用,但是服务器需要处理所有TLS。
此外,您的结论是正确的,因为API Gateway的客户端证书不是您想要的。它们按照您描述的方式工作。