AWS безопасный REST API с взаимной аутентификацией

Question

Я хочу защитить REST API с помощью взаимной аутентификации на AWS.Это означает, что только клиенты с определенным клиентским сертификатом должны иметь доступ к API.Каков наилучший способ защиты REST API в AWS с взаимной аутентификацией?

Я знаю, что поддержка клиентских сертификатов для API Gateway , но это не то, что я ищу.Насколько я понимаю, это только аутентифицирует Api Gateway на бэкэнде и не может аутентифицировать клиентов на Api gateway.

Может ли Api Gateway, балансировщик нагрузки или любой другой продукт AWS выполнять взаимную аутентификацию для обеспечения отдыхаAPI или мне нужно реализовать это самостоятельно?

Answer 1

Вам придется делать это на своих серверах.

Ни одна из служб, которые завершают TLS и переадресовывают запросы или соединения на уровень вашего приложения, - Elastic Load Balancers (Classic, Application и Network),CloudFront или API Gateway - поддерживают взаимную аутентификацию TLS.

Конечно, сетевой балансировщик нагрузки без завершения TLS или классический балансировщик нагрузки в режиме TCP будет пропускать вашу полезную нагрузку, какой бы она ни была, поэтому любой изих можно использовать перед вашими серверами, но серверы должны будут обрабатывать все TLS.

Кроме того, вы сделали правильный вывод о том, что клиентские сертификаты API Gateway - это не то, что вы ищете.Они работают так, как вы их описали.