如何使用 AWS CloudFormation 在 AWS API Gateway 上应用安全策略?

Posted

技术标签:

【中文标题】如何使用 AWS CloudFormation 在 AWS API Gateway 上应用安全策略?【英文标题】:How to apply Security Policy on AWS API Gateway using AWS CloudFormation? 【发布时间】:2020-01-06 23:20:32 【问题描述】:

我有一个简单的 cloudformation 模板,它正在为 API 网关创建自定义域, 该模板能够创建自定义域。

但我找不到将 Custom Domain Security Policy 设置为 TLS 1.2 的 cloudformation 属性, 该模板使用默认的TLS 1.0 Security Policy 创建一个自定义域

模板 -

AWSTemplateFormatVersion: 2010-09-09
Transform: 'AWS::Serverless-2016-10-31'
Description: Test Custom Domain

Resources:
  test:
    Type: AWS::ApiGateway::DomainName
    Properties: 
      CertificateArn: !Sub 'arn:aws:acm:$AWS::Region:$AWS::AccountId:certificate/xxxx-xxx-xxx-xxxx-xxxx'
      DomainName: 'test-api.example.com'
      EndpointConfiguration: 
        Types: 
          - 'EDGE'

参考 -https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-domainname.html

【问题讨论】:

【参考方案1】:

2020 年 7 月添加了对指定 Security Policy on an API Gateway domain 的支持。AWS Docs 上提供了有关如何将此参数添加到 CloudFormation 模板的文档。安全策略的有效值为TLS_1_0TLS_1_2。示例如下:

ApiCustomDomainName:
  Type: 'AWS::ApiGateway::DomainName'
  Condition: ApiGatewayEnabled
  Properties:
    DomainName: "example.com"
    RegionalCertificateArn: !Ref CertificateArn
    securityPolicy: "TLS_1_2"
      EndpointConfiguration:
        Types:
          - REGIONAL

【讨论】:

【参考方案2】:

很遗憾,此参数尚未通过 CloudFormation 公开。

这里有一张票可以追踪它的进程 - https://github.com/aws-cloudformation/aws-cloudformation-coverage-roadmap/issues/3

目前,您最好的选择是创建自定义 CloudFormation 资源。

此参数通过 API 公开,可供(至少部分)他们的 SDK 使用 - https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/apigateway.html#APIGateway.Client.create_domain_name

这里是讨论如何创建客户资源的文档 - https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-custom-resources.html

【讨论】:

你也可以看看这个问题 - ***.com/questions/57785755/…? 我已在此广告上回复

以上是关于如何使用 AWS CloudFormation 在 AWS API Gateway 上应用安全策略?的主要内容,如果未能解决你的问题,请参考以下文章

如何使用 aws cloudformation 模板在 aws cognito 用户池中设置所需属性?

如何在存储桶名称中使用变量 AWS Cloudformation

AWS::CloudFormation::Init 它是如何工作的?

如何使用 cloudformation 在 AWS cognito 上设置验证属性?

如何使用 AWS CloudFormation 在 AWS API Gateway 集成中指定阶段变量?

如何使用 AWS CloudFormation 创建 Amazon VPC?