如何拒绝 public 访问 AWS API 网关?
How can I deny public access to an AWS API gateway?
类似于 ,我想拒绝 public 访问 AWS API 网关,并且仅在通过特定用户调用 API 时才允许访问帐户。我已将以下资源策略应用到网关:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"NotPrincipal": {
"AWS": [
"arn:aws:iam::123456789012:root",
"arn:aws:iam::123456789012:user/apitestuser"
]
},
"Action": "execute-api:Invoke",
"Resource": "arn:aws:execute-api:us-east-1:123456789012:abcd123456/*"
}
]
}
但是当我运行
curl -X GET https://abcd123456.execute-api.us-east-1.amazonaws.com/dev/products
我仍然收到包含数据的成功响应:
[{"id":1,"name":"Product 1"},{"id":2,"name":"Product 2"}]
我希望收到 4XX 响应。
如何更改策略以拒绝 public 访问网关?或者,不使用 VPC 是否无法拒绝 public 访问?理想情况下,我希望避免使用 VPC,因为在多个区域使用 NAT 网关的成本很高。我还想避免构建任何身份验证机制,因为身份验证和授权发生在代理到该网关的其他 API 网关中。
根据评论。
问题是在 adding/changing 政策之后 重新部署 阶段。
所以解决方案是重新部署策略生效的阶段。
类似于
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"NotPrincipal": {
"AWS": [
"arn:aws:iam::123456789012:root",
"arn:aws:iam::123456789012:user/apitestuser"
]
},
"Action": "execute-api:Invoke",
"Resource": "arn:aws:execute-api:us-east-1:123456789012:abcd123456/*"
}
]
}
但是当我运行
curl -X GET https://abcd123456.execute-api.us-east-1.amazonaws.com/dev/products
我仍然收到包含数据的成功响应:
[{"id":1,"name":"Product 1"},{"id":2,"name":"Product 2"}]
我希望收到 4XX 响应。
如何更改策略以拒绝 public 访问网关?或者,不使用 VPC 是否无法拒绝 public 访问?理想情况下,我希望避免使用 VPC,因为在多个区域使用 NAT 网关的成本很高。我还想避免构建任何身份验证机制,因为身份验证和授权发生在代理到该网关的其他 API 网关中。
根据评论。
问题是在 adding/changing 政策之后 重新部署 阶段。
所以解决方案是重新部署策略生效的阶段。