Amazon API Gateway使用IP白名单控制后端服务访问

已于 2022-10-23 11:48:51 修改
阅读量1.4k 收藏 1
点赞数
文章标签: gateway 网络 ip白名单
于 2022-09-23 11:37:25 首次发布
阿弥陀佛 欢迎流通 功德无量
本文链接:https://blog.csdn.net/fxtxz2/article/details/127007121
版权

一图胜千言

一图胜千言

目标

我们需要在Amazon API Gateway设置资源策略,用于控制某些IP段能够访问特定后端服务。

前提

假设已经完成了Amazon API Gateway中REST API的接口部署,如下就是已经存在的API接口:
Rest API接口

步骤

创建资源策略

创建资源策略
点击“资源策略”,写入如下内容后,点击“保存”按钮即可:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws-cn:execute-api:cn-north-1:xxx:xxx/*/*/adminApi/*"
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws-cn:execute-api:cn-north-1:xxx:xxx/*/*/adminApi/*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "x.x.x.x/24"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws-cn:execute-api:cn-north-1:xxx:xxx/*/*/openApi/*"
        }
    ]
}

这里资源策略的意思就是许可特定的IP段x.x.x.x/32,才能够访问/adminApi/*的接口,其他接口都能够随意访问。值得注意的是这里的Resource格式:arn:aws-cn:execute-api:cn-north-1:账号id:API Gateway的id/阶段名称/http请求方法/adminApi/*
需要注意:Allow 与 Deny的策略顺序。

重新部署Rest API接口

重新部署api
选择“资源”,选择“/”,下拉“操作”按钮,选中“部署API”;
重新部署选择阶段
选择部署阶段,点击“部署”。

验证

异地IP验证

异地IP验

使用移动IP调用,请求被拒绝了。

白名单IP验证

白名单IP验证
同样的请求,在白名单中的IP就可以正常请求。

总结

这里使用的AWS中国北京地区的API Gateway服务,通过策略控制对后台服务的访问控制。

参考:

亚林瓜子
关注
KubeCon+CloudNativeCon 资料
AI天才研究院
07-28 1640
2019年9月27日至29日,KubeCon + CloudNativeCon(KubeCon+CloudNativeCon)全球开发者大会在加拿大多伦多举行,Kubernetes、Envoy、Istio、CoreDNS、Containerd、Fluentd、OpenTracing等云原生领域的顶级技术专家及工程师出席分享交流。国内著名云计算巨头阿里巴巴、腾讯、百度、华为等都派出代表参加了此次大会。
后台网关白名单怎样设置
awseda的博客
05-01 2293
分享:后台白名单怎样设置 1.找到zuul网关的项目 2.找到resources文件 3.创建yml文件 4.在.yml文件中加入以下代码 filter: allowPaths: //前两者为固定,以下是设置白名单的格式,-/路径,即可 - /checkusername - /checkmobile - /sms - /register ...
SpringCloud Gateway网关配置(二)接口访问IP白名单配置(真实IP
m0_67402970的博客
03-23 9448
SpringCloud Gateway网关配置中,需要对访问IP设置白名单,SpringCloud Gateway官方给出YML配置文件配置。 如下: 5.10. The RemoteAddr Route Predicate Factory The RemoteAddr route predicate factory takes a list (min size 1) of sources, which are CIDR-notation (IPv4 or IPv6) strings, such as 1
GateWay中添加白名单
热门推荐
Town
02-19 1万+
最近开发中有一个鉴权的操作,最后需要进行添加白名单的,废话不多说,直接上代码吧, 这是我的项目结构 applicaton启动类: import org.springframework.boot.SpringApplication; import org.springframework.cloud.client.SpringCloudApplication; import org.spr...
Spring Cloud Gateway 网关实现白名单功能
Mrqiang9001
08-30 1万+
对于微服务后台而言,网关层作为所有网络请求的入口。一般基于安全考虑,会在网关层做权限认证,但是对于一些例如登录、注册等接口以及一些资源数据,这些是不需要有认证信息,因此需要在网关层设计一个白名单的功能。本文将基于 Spring Cloud Gateway 2.X 实现白名单功能。注意事项: Gateway 网关层的白名单实现原理是在过滤器内判断请求地址是否符合白名单,如果通过则跳过当前过滤器。如果有多个过滤器,则需要在每一个过滤器里边添加白名单判断。......
批量修改亚马逊AWS相关service访问控制和安全组白名单IP设置Python脚本
蛙鳜鸡鹳狸猿
09-16 2172
目前工作中需要维护包括亚马逊AWS、阿里云Alibaba Cloud和微软云Microsoft Azure在内的云平台服务设施。关于白名单IP地址切换(旧的IP换成新的IP)的工作是分云平台进行的,刚开始独立写每个云平台的脚本,后来因为常用就整合在了一起。参考GitHub上的完整代码:https://github.com/Bilery-Zoo/Cloud_Platform_Maintenance...
CloudFront和API Gateway的合理结合
API Gateway 是亚马逊提供的一项托管服务,可帮助开发者轻松创建、发布、维护、监控和保护RESTful 和 WebSocket API。它提供了丰富的特性,包括请求转换、授权和访问控制、监控等,能够帮助开发者轻
使用API网关管理和监控API
API网关(API Gateway)是一种服务,充当系统外部和内部API之间的中介,负责管理API访问控制、安全性、监控、性能优化等任务。它扮演着API的门卫和交通警察的角色,为系统提供了一层统一的接入点。 API网关的主要...
AfterShip 亿级流量 API 网关的演进
weixin_45583158的博客
07-20 736
导读:1. AfterShip API Gateway 需要解决的问题1.1服务治理诉求1.2服务暴露的痛点2. AfterShip API Gateway 整体架构2.1 为什么选择使...
aws搭建包含服务器和网络的虚拟基础设施(2)
qq_41875506的博客
07-20 3306
模板包含几个主要部分。但是,在您构建模板时,使用以下列表中显示的逻辑顺序可能会很有用,因为一个部分中的值可能会引用上一个部分中的值。用户永远不应该把一个用户访问密钥复制到一个EC2实例上,要使用IAM角色,不要在自己的源代码中存储安全凭证,并且永远不要把它们提交到自己的Git或SVN资源库中,而是尽可能的使用IAM角色。如果用户运行一台网站服务器,则对外打开的端口只有HTTP流量使用的80端口和HTTPS流量使用的443端口,所有其它的端口都应该被关闭,只打开必要的端口,就关闭了许多可能的安全漏洞。
网关认证,完成白名单功能
2301_77013788的博客
08-19 1033
使用gateway网关,完成白名单认证
Gateway API 实践之(二)FSM Gateway 的黑白名单访问控制
最新发布
weixin_41455244的博客
01-16 1215
白名单功能是一种有效的网络安全机制,用于控制和管理网络流量。这种功能基于预设的规则列表来确定哪些实体(IP 地址或者 IP 网段)被允许或禁止通过网关。网关使用白名单来过滤进入的网络流量。这种方式提供简单直接的访问控制,易于管理,可有效防止已知的安全威胁。
SpringCloud Gateway网关 全局过滤器[header token] 实现用户鉴权,白名单
小哇
01-28 2768
前提:先保证Gateway网关项目 和 Nacos注册中心 等可以正常访问和调用,搭建方法可查看博文https://blog.csdn.net/qq_41712271/article/details/113358022 业务流程 核心代码 package cn.huawei.filter; import org.apache.commons.lang.StringUtils; import org.springframework.cloud.gateway.filter.GatewayFilterCh
spring cloud alibaba gateway 集成 oauth2.0 完成微服务白名单认证
技术从心
06-04 3830
​最近换了工作搬了家,人又回到了原来的懒得境界,没有了之前的活力,想着再重新慢慢的找回来吧。最近灰度到了付费文章测试一下。 最近工作优化项目不是很慢,加上项目中可能要用到认证授权的东西,而最近也是一直想学习gateway+security+oauth2.0相关的认证授权,网上找了很多的资料都不是很全。 偶然间看到了一个若依的项目很符合我的要求,加上之前这方面的知识都有所了解,所以就照着若依的项目搭建了一个基础的认证授权微服务框架。 废话不多说介绍项目的作用,以及项目的流程,先看...
巧用网关白名单实现接口免鉴权
沙漠里的豆子
07-28 1838
场景描述:一般系统中提供的接口都是经过统一配置鉴权的,比如不登录不能访问。但是,一些接口是需要开放给客户用的,我称作open API。当然,使用白名单也不仅仅局限于对外开放接口这个场景,也不仅仅局限于使用在鉴权过滤器上。实际需求可以结合自己的业务场景,使用不同的过滤器。如果使用的是网关过滤器,在校验后应该再次过滤器,也就是经过2次;,如果你的系统集成了gateway也可以使用网关过滤器,然后自定义过滤器实现。在你的本地的配置文件或者是nacos的配置文件中新增以下配置。从白名单中删除,用网关过滤器演示。
【SpringCloud】gateway网关配置
weixin_44917754的博客
07-28 740
本文主要论述了gateway网关配置,将Provider中的模块接口配置进对应网关中,让Provider中的接口不被暴露出来,用户通过访问网关来访问服务。 网关与其他端的关系如图所示: 配置步骤如下 说明:本配置为将Provider中8001模块的某个接口配置进9527网关模块中! (一)通过application.yml文件将8001中接口配置进9527网关。 1. 创建9527模块 2. 导包(pom.xml) 主要导入两个包: (1).9527模块注册进Eureka。 <dependenc
怎样设置对接 API 时的白名单
实践求真知
11-23 1965
一需求 在和其他厂商进行 API 对接时,有时候对接方需要我们提供 IP 白名单,针对开发人员,通过ipconfig去查询,只能查到本地私有 IP,这个IP显然不是对接方需要的白名单,怎样获取这个白名单呢?只需要下面一个步骤。 二步骤 百度上搜索 ip,搜到的第一条会显示本机 IP,这个 IP可以作为IP白名单提供出去。 三注意 笔记本换了地方后,IP地址会发生变化,例如上面的截图是公司的,下面的截图是家的。所以对接时,要随时记得更换白名单。 ...
Gateway 重点详细介绍以及使用
小电玩
10-06 2951
Gateway是一个网络通信设备,通常用于连接不同的网络,并在网络之间进行数据转发。它可以将来自一个网络的数据包转发到另一个网络中。Gateway可以是硬件设备,也可以是软件实现。在互联网中,路由器通常被视作是默认的网关,它可以定向将不同网络间的数据包进行转发。此外,现代计算机操作系统中也有一个网关概念,它指的是在本地网络上转发数据包的网络接口设备。在Spring Boot中,您可以使用Spring Cloud Gateway来实现网关功能。
SpringCloud Gateway配置全局过滤JWT统一Token处理
weixin_45132964的博客
02-07 1060
SpringCloud Gateway配置全局过滤JWT统一Token处理
AWS API Gateway:构建与管理无服务API
AWS API GatewayAmazon Web Services (AWS) 提供的一项服务,用于构建、部署和管理RESTful APIAPI Gateway允许开发者轻松地创建、维护和保护API,使得客户端能够安全地与后端服务交互。在本文档中,主要讨论了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值