このトピックでは、API GatewayのAPIセキュリティに関するよくある質問 (FAQ) に対する回答を提供します。
APIセキュリティの問題
APIセキュリティ
モバイル端末のAppKeyセキュリティを確保する方法?
AppKeyは、APIを呼び出すために使用するIDです。 AppKeysは機密性が高く、適切に保持する必要があります。 漏洩した場合は、できるだけ早い機会にAPI Gatewayコンソールで変更する必要があります。
API Gatewayからバックエンドサーバーへの呼び出しのセキュリティを確保するにはどうすればよいですか。
API Gatewayでセキュリティキーを設定するか、HTTPSを使用してリクエストを暗号化できます。
セキュリティキーを使用する:
APIごとにキーを設定できます。 キーを設定した後、API Gatewayは指定されたメソッドに基づいてリクエストに署名します。 詳細については、「バックエンド署名プラグイン」をご参照ください。
この場合、同じ方法を使用して署名を検証し、リクエストが本物で有効であることを確認する必要があります。
HTTPSの使用:
HTTPSを使用してリクエストを暗号化する前に、必要なSSL (Secure Sockets Layer) 証明書を取得していることを確認してください。
バックエンドキーを変更した後、APIを再公開する必要がありますか?
いいえ。 新しいキーを作成し、コンソールでAPIにバインドするだけです。
サービスを中断せずにバックエンドキーを置き換えるにはどうすればよいですか?
まず、複数のサーバーがバックエンドサービスを実行していることを確認する必要があります。 次に、次の手順を実行できます。
バックエンドサービスをアップグレードして、古いキーと新しいキーの両方をサポートします。
ゲートウェイインスタンスでバックエンドキーを変更します。
バックエンドサービスを編集して、古いキーのサポートを削除します。
特定のユーザーにAPIを開くにはどうすればよいですか?
API GatewayコンソールでAPIのアクセス許可を設定できます。