在AWS API网关中，如何将HTTPS密码限制在提供完美前向保密的密码上？

Question

我们希望使用API，我们需要完美的前向保密(secrecy)。

实现这一目标的一种方法是将HTTPS/TLS1.2上连接时可用的密码限制为基于Diffie的密码(即不允许RSA)。有办法限制API网关中的密码吗？

或者，是否有一种方法来配置API网关，使其不终止HTTPS，而是将其转发到AWS负载均衡器(因为AWS负载平衡器确实支持限制密码套件)？

我的研究表明，API网关确实允许HTTPS与不支持完全前向保密的密码连接)。

谢谢!

Answer 1

有办法限制API网关中的密码吗？

据我所知没有。API网关似乎得到了CloudFront的支持，它也不允许TLS密码套件配置。

或者，是否有一种方法可以配置API网关，使其不终止HTTPS，而是将其转发给AWS负载均衡器？

不，它不能通过TCP。

我的研究表明，API网关确实允许HTTPS与不支持完全前向保密的密码连接

是。并不是所有的浏览器/用户代理都支持短暂的键，API网关需要支持所有这些(尽管随着旧事物的消失，这个列表变得越来越小)。

API网关被配置为更喜欢使用支持ECDHE的密码套件，所以如果浏览器/用户代理支持ECDHE，那么它将更有可能被使用。

如果您绝对必须限制对提供FS的密码套件的支持，那么您需要找到API网关以外的解决方案，或者在API网关前面放置一个反向代理，以确保FS被使用，并想出一种方法将API网关限制为只接受来自反向代理的连接。

Answer 2

AWS已经宣布，TLS版本和密码器现在可以配置为边缘优化的API网关实现：

• https://aws.amazon.com/about-aws/whats-new/2019/06/amazon-api-gateway-adds-configurable-transport-layer-security-version-custom-domains/
• https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-custom-domain-tls-version.html