我已经构建了一个AWS API Gateway API终端节点,该终端节点将由我公司网络中的一台计算机命中,以便每隔固定的间隔发布数据。但是,当我通过邮递员从办公室网络尝试办公室防火墙时,它会阻止它(但是当我使用移动热点/其他wifi时,由于没有防火墙挑战,它可以无缝运行),因此我必须给IP地址范围设置为白色-由办公室网络团队列出,以便能够访问API端点。
从哪里获得IP?它们是不变的还是变化的?既然要为要被网络安全团队列入白名单的IP索取票证是一个漫长的过程,那么在同一过程上是否有一个平稳的过程?
此外,这种从本地到云的数据推送方式是否存在风险?我已经实现了AWS IAM授权以及用于安全性和访问控制的API密钥。如果仍然存在风险,如何使这一过程完全安全?
请帮助!
答案 0 :(得分:1)
不幸的是,您无法将静态IP分配给API网关,因为它可以在不另行通知的情况下进行更改,即通过AWS Design。在这种情况下,您可以做的是使用反向Poxy和关联的IP,它将IP流量透明地路由到API网关(然后,您需要域名和证书,因为您将不再使用APIGateway名称)< / p>
此外,这种从本地推送数据的方式是否存在风险 云?我已经实现了AWS IAM授权,并且 用于安全性和访问控制的API密钥。如果仍然有风险,如何 使这个过程完全安全?
在任何组织中都没有完全保护的东西,但是为了保护传输中的数据,您应该使用加密通道,例如https(API Gateway本身支持)。这就是为什么您需要域名和代理证书的原因
答案 1 :(得分:1)
怎么样:
https://www.reddit.com/r/aws/comments/8f1pve/whitelisting_aws_api_gateway/
API网关通过Cloudfront代理,因此您可以在此处将CLOUDFRONT服务的IP列入白名单。 IP轮换了,因此您需要每个
更新白名单您可以订阅一个SNS主题,该主题将在AWS服务的IP范围更新时将其发送出去。 https://aws.amazon.com/blogs/security/how-to-automatically-update-your-security-groups-for-amazon-cloudfront-and-aws-waf-by-using-aws-lambda/ https://aws.amazon.com/blogs/aws/subscribe-to-aws-public-ip-address-changes-via-amazon-sns/
除非它是区域APIGW端点。