公司防火墙中AWS API网关API端点的白名单IP

Question

我已经构建了一个API网关API端点，它将被我公司网络中的一台机器击中，以便在每一个正常的时间间隔上发布数据。但是，当我通过邮递员从办公网络尝试它时，办公室防火墙会阻止它(但是当我使用移动热点/其他wifi时，由于没有防火墙挑战，它可以无缝工作)，所以我必须给出由office网络团队白列出的IP地址的范围，这样才能到达API端点。

从哪弄到IP？它们是不变的还是不断变化的？由于这是一个漫长的过程，提高票的IP是白色上市的网络安全团队，是否有一个平稳的过程相同？

此外，这种数据从预置到云的方式是否存在风险？我已经实现了AWS授权，也实现了用于安全和访问控制的API密钥。如果仍然存在风险，如何使这一过程完全安全？

请帮帮我！

Answer 1

不幸的是，您不能将静态IP提供给API ，因为它可以在没有通知的情况下更改，即AWS。在这种情况下，您可以做的是使用与IP相关的反向poxy和弹性IP，透明地将您的http流量路由到API网关(然后您需要域名和证书，因为您不再使用APIGateway名称)。

此外，这种数据从预置到云的方式是否存在风险？我已经实现了AWS授权，也实现了用于安全和访问控制的API密钥。如果仍然存在风险，如何使这一过程完全安全？

在任何组织中都没有完全安全的东西，但是为了确保传输数据的安全，您应该使用一个加密的通道，比如https ( API网关本机支持的)。这就是为什么您需要一个域名和一个代理证书。

Answer 2

不如：

gateway/

API网关是通过Cloudfront代理的，因此您可以在这里为CLOUDFRONT服务显示is。ips是旋转的，所以您需要每次更新您的白名单

有一个您可以订阅的SNS主题，当AWS服务被更新时，它会发出AWS服务的IP范围。https://aws.amazon.com/blogs/security/how-to-automatically-update-your-security-groups-for-amazon-cloudfront-and-aws-waf-by-using-aws-lambda/ https://aws.amazon.com/blogs/aws/subscribe-to-aws-public-ip-address-changes-via-amazon-sns/

除非是一个区域性的APIGW端点。

Answer 3

这就解释了AWS https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html的IPs。

您需要部署API的区域的"EC2“服务的范围。

对我来说，还不清楚是否知道JSON中的哪个IP范围是API网关端点的IP范围。我在nslookup上做了几次实验，发现您需要使用如下脚本为"EC2“服务提供范围：

const IPCIDR = require("ip-cidr");
const ipRanges = require('./ips.json');

const relevantRanges = ipRanges.prefixes.filter(el => {
    const cidr = new IPCIDR(el.ip_prefix);
    // Those IPs I get from `nslookup` to my endpoint. They belong to EC2 of the region
    return cidr.contains('3.5.136.1') || cidr.contains('18.192.0.1');
});

console.log(JSON.stringify(relevantRanges, undefined, 2));

您可以使用它进行实验，找出对端点负责的服务和范围。