AWS announces preview of AWS Interconnect - multicloud

AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.

¿Cómo permito que solo direcciones IP específicas accedan a mi API de REST de API Gateway?

4 minutos de lectura

Quiero permitir que solo direcciones IP específicas accedan a mi API de REST de Amazon API Gateway.

Descripción breve

Para permitir que solo direcciones IP específicas accedan a tu API de REST, crea una política de recursos que deniegue el acceso a todas las demás direcciones IP.

Después de adjuntar la política de recursos a la API de REST, los usuarios con permisos pueden llamar a la API desde direcciones IP especificadas. Tu API deniega las llamadas desde cualquier otra dirección IP y muestra un error «HTTP 403 Forbidden».

Para bloquear direcciones IP específicas y permitir el acceso a todas las demás, consulta Ejemplo: Cómo denegar el tráfico a una API para una dirección o un rango de direcciones IP de origen.

Nota: Puedes usar políticas de recursos para las API HTTP de API Gateway.

Resolución

Configuración de un método de API

Para probar el acceso, usa tu API de REST de API Gateway existente o crea una API de REST de ejemplo. Si utilizas la API del ejemplo de PetStore, continúa con la Creación y asociación de una política de recursos.

Para crear una integración simulada para tu API de REST existente, sigue estos pasos:

Abre la consola de API Gateway.
Elige tu API de REST.
En el panel Recursos, en Métodos, elige Crear método.
En Tipo de método, selecciona CUALQUIERA.
En Tipo de integración, elige Simulación.
Nota: La integración simulada responde a cualquier solicitud que le llegue.
Selecciona Crear método.

Creación y asociación de la política de recursos

Sigue estos pasos:

Abre la consola de API Gateway.
Elige tu API de REST.
En el panel de navegación, selecciona Política de recursos.
Selecciona Crear política.

En Política de recursos, introduce la siguiente política de recursos:

{  "Version": "2012-10-17",
  "Statement": [{
      "Effect": "Allow",
      "Principal": "*",
      "Action": "execute-api:Invoke",
      "Resource": "execute-api:/*/*/*"
    },
    {
      "Effect": "Deny",
      "Principal": "*",
      "Action": "execute-api:Invoke",
      "Resource": "execute-api:/*/*/*",
      "Condition": {
        "NotIpAddress": {
          "aws:SourceIp": ["sourceIpOrCIDRBlock", "sourceIpOrCIDRBlock"]
        }
      }
    }
  ]
}

Nota: Sustituye sourceIpOrCIDRBlock por las direcciones IP a las que deseas conceder acceso. Utiliza la notación CIDR para especificar un rango de direcciones IP, como ["52.95.36.0/22", "15.230.39.196/31", "52.93.178.219/32"]. La condición aws:SourceIp solo funciona para rangos de direcciones IP públicas. Para permitir el acceso a rangos de direcciones IP privadas, utiliza la condición aws:VpcSourceIp. En aws:VpcSourceIp, introduce la dirección IP privada del cliente HTTP que invoca el punto de enlace de la API privada a través del punto de enlace de nube virtual privada (VPC) de la interfaz. Solo puedes invocar puntos de enlace de API privadas en API Gateway a través de un punto de enlace de VPC de la interfaz.

Selecciona Guardar cambios.

Para encontrar las direcciones IP privadas que llaman a tu API de REST, consulta los registros de Amazon CloudWatch. Para obtener más información, consulta Tutorial: Visualización de registros de CloudWatch.

Despliegue de la API

Sigue estos pasos:

Abre la consola de API Gateway.
Elige tu API de REST.
En el panel Recursos de tu API de REST, selecciona Desplegar API.
En Etapa de despliegue, elige Nueva etapa.
En Nombre de la etapa, introduce un nombre. Por ejemplo, escribe v1 o demo.
Selecciona Desplegar.

Importante: Debes volver a implementar la API de REST cada vez que modifiques su política de recursos.

Prueba de la política de recursos

Según tu sistema operativo (SO), ejecuta uno de los siguientes comandos para probar un entorno con una dirección IP permitida.

Entornos Linux, Unix y macOS:

curl -IX GET https://yourInvokeUrl/

Windows PowerShell:

curl https://yourInvokeUrl/

Nota: Reemplaza https://yourInvokeUrl/ por la URL de invocación de tu API de REST.

Si has configurado la política de recursos correctamente, el entorno permitido recibirá una respuesta «HTTP 200 OK». Vuelve a ejecutar el mismo comando desde un entorno sin una dirección IP permitida. Un entorno denegado recibirá un error «HTTP 403 Forbidden».

Para probar tu política de recursos, también puedes usar la aplicación Postman en el sitio web de Postman.

Nota: Si no tienes acceso a varios entornos, inicia una instancia de Amazon Elastic Compute Cloud (Amazon EC2). A continuación, agrega la dirección IP de la instancia a la política de recursos de tu API y vuelve a desplegarla.

Información relacionada

Creación y asociación de una política de recursos de API Gateway a una API

Ejemplos de políticas de recursos de API Gateway

Información general del lenguaje de políticas de acceso para Amazon API Gateway

Control y administración del acceso a las API de REST en API Gateway

Temas: Serverless Front-End Web & Mobile Networking & Content Delivery
Etiquetas: Amazon API Gateway
Idioma: Español

Vídeos relacionados

Ve el vídeo de Rajesh para obtener más información (3:04)

OFICIAL DE AWSActualizada hace 4 meses

Sin comentarios

Contenido relevante

Lambda HTTP Authorizer y función no generan logs en CloudWatch cuando están en warm start
EstebanRojasBarrera
preguntada hace 7 meses
Validación del uso de CloudFront en un entorno multi-tenant con behaviors + Lambda@Edge y recomendaciones para obtener un comportamiento predecible.
F_Ruben
preguntada hace un mes
no puedo Eliminar direccion IP elastica
Luis
preguntada hace 9 meses
Problema de acceso a instancia
Jmortega
preguntada hace 8 meses
No se puede acceder a IPv4 (pública)
Gianpiero S
preguntada hace 9 meses
¿Cómo permito que la dirección IP de mi API de API Gateway acceda a mi firewall de integración?
OFICIAL DE AWSActualizada hace un año
¿Cómo utilizo un punto de enlace de VPC de interfaz para acceder a una API de REST privada de API Gateway en otra cuenta?
OFICIAL DE AWSActualizada hace 7 meses
¿Cómo puedo integrar una API de REST de API Gateway con un equilibrador de carga de aplicación?
OFICIAL DE AWSActualizada hace 2 meses
¿Cómo puedo encontrar los errores de la API de REST de la API Gateway en los registros de CloudWatch?
OFICIAL DE AWSActualizada hace 4 años