亚马逊云科技AmazonAPIGateway在汽车行业的应用实践

关键字: [亚马逊云科技中国峰会2024, API Gateway, Amazon Api Gateway, Api管理平台, 企业级Api安全, 无服务器架构集成, 异步Api处理]

本文字数: 1600, 阅读完需: 8 分钟

导读

在”基于AmazonAPIGateway构建API管理平台及汽车行业应用实践”的演讲中,孙华介绍了如何利用亚马逊API Gateway构建企业API管理平台。他解释了API Gateway的主要功能,如支持REST API和WebSocket协议、提供区域级和边缘优化的API端点、可与Lambda、SQS和私有服务集成等。他还讨论了如何通过资源策略、证书认证、Web应用防火墙等方式保护API的安全性,以及使用JWT、Cognito等技术实现授权。最后,张慈分享了捷豹路虎在API Gateway上的应用实践案例。

演讲精华

以下是小编为您整理的本次演讲的精华，共1300字，阅读时间大约是6分钟。

亚马逊云科技解决方案架构师孙华分享了如何利用亚马逊云科技的 API Gateway 服务为企业构建 API 管理平台。API Gateway 是一种托管的无服务器 API 管理服务,可为企业提供统一的 API 入口,实现更好的安全管控和监控。它采用按需付费模式,无需预先部署大量机器,维护升级也由亚马逊云科技负责。

API Gateway 支持 REST API 和 WebSocket 协议,但在实际使用中,绝大多数 API 都还是 REST API。针对 REST API,API Gateway 提供了两个版本的端点:REST API 和 HTTP API。REST API 功能更为完整,但成本会稍微高一些;HTTP API 功能相对简单,但它的成本和性能会更好一些。对于企业客户而言,大多数会选择功能更全面的 REST API 以满足需求。

API Gateway 向外暴露了三种类型的端点。第一种是区域级公网端点,可供公网上的客户访问该区域内的 API,比如在北京区域需要公网访问的 API,可以通过这种方式创建。第二种是边缘优化端点,利用了亚马逊 CloudFront CDN 服务。通过在全球范围内部署的边缘节点,边缘优化端点可以减少客户端到边缘节点的 TCP 连接建立延迟,从而降低整体延迟。如果客户端与 API 所在区域有 50 毫秒的延迟,那么 TCP 一个往返就需要 100 毫秒的延迟,再加上 TLS 1.2 需要两次往返的延迟,总共需要 300 毫秒才能建立连接。但如果使用了边缘优化,客户端到边缘节点的延迟可能只有十几毫秒,三次延迟加起来不到 100 毫秒就可以建立连接。此外,API Gateway 今年年初还支持了 TLS 1.3 版本,只需一次握手就可建立安全连接,进一步降低延迟。但边缘优化端点不支持在边缘节点缓存 API 响应,如果需要缓存,可以创建区域级端点,自行配置 CloudFront 分发。第三种是私有端点,只能被企业内部的 VPC 内应用访问,甚至可以通过 Amazon Direct Connect 专线连接到本地数据中心。

API Gateway 采用令牌桶算法进行限流。默认情况下,API Gateway 每秒可处理 10,000 个请求,最大并发为 5,000 个请求。这个 5,000 的最大并发是一个硬性限制,但每秒 10,000 个请求是一个软限制,可以根据需求提升。此外,API Gateway 还支持基于 API、资源、方法以及使用计划进行更精细的限流控制。

API Gateway 可与多种后端服务集成。最常见的是与 Amazon Lambda 无服务器计算服务集成,实现完全无服务器的 API,通过 API Gateway 直接调用 Lambda 函数运行代码,Lambda 再访问 Amazon DynamoDB 存取数据;也可与 Amazon SQS 消息队列服务集成,提供异步 API 服务,客户端发出请求后可立即获得响应,实际处理由后台 Lambda 函数从 SQS 队列批量取数据处理;还可集成企业内部的私有服务,甚至通过 Amazon Direct Connect 专线连接到本地数据中心。

在安全保护方面,API Gateway 提供了多种访问控制和授权方式。访问控制包括资源策略、证书认证和与 Amazon WAF 网关防火墙服务集成。资源策略可控制其他 亚马逊云科技 账户、IP 地址或网段在特定时间段内是否可访问 API;证书认证则要求客户端提供可信任的证书才能访问,在 IoT 场景下经常使用;WAF 集成则可根据请求头等信息精细控制请求访问,防止 SQL 注入、跨站脚本攻击等。

授权方式包括 JWT/Cognito、IAM 角色和 Lambda Authorizer。JWT/Cognito 是基于 OpenID Connect 标准的授权方式,可从 JWT 令牌中获取用户信息和作用域;IAM 角色授权则适用于其他在 Amazon EC2 上运行的应用访问 API,客户端需对请求进行签名,包括对请求体进行哈希;Lambda Authorizer 则提供了最大的灵活性,可集成企业内部的身份提供商和权限系统,如果应用的授权需要使用内部 IdP 或权限系统,可使用 Lambda 函数执行自定义认证逻辑。

除了访问控制和授权,API Gateway 还提供了限流等安全保护措施。通过使用计划,可以将不同客户端的 API 密钥划分到不同的计划中,每个计划可设置不同的访问配额、速率限制等,实现对不同客户端的精细管控。例如可以为免费用户和付费用户设置不同的限流策略,付费用户可获得更高的配额和限制。

在 IoT 和汽车行业等场景下,API Gateway 可结合 mTLS 双向认证、Lambda Authorizer 和使用计划,实现更加完整的访问控制和限流解决方案。具体做法是:客户端设备使用证书进行 mTLS 双向认证,Lambda Authorizer 根据证书信息查询设备所属客户,并返回对应使用计划的 API 密钥,从而实现基于设备的精细访问控制策略。

总的来说,API Gateway 为企业提供了功能全面、安全可靠的 API 管理平台,并可与多种 亚马逊云科技 服务无缝集成,满足各种业务需求。通过 API Gateway,企业可以构建统一的 API 入口,实现更好的安全管控和监控,提高 API 的可用性和性能,降低运维成本。

下面是一些演讲现场的精彩瞬间：

亚马逊云科技中国峰会2024上,演讲者介绍了亚马逊API网关的主要功能、后端集成服务以及企业API安全保护措施,并分享了捷豹路虎的案例。

亚马逊云科技中国峰会2024:亚马逊API网关支持REST API和WebSocket,满足企业级客户需求

亚马逊云科技中国峰会2024:介绍了边缘优化的API,可以通过CloudFront CDN分发,为全球用户提供低延迟访问。

亚马逊云科技中国峰会2024上,演讲者介绍了如何利用API Gateway、SQS和Lambda实现异步API,提供低延迟响应和后台批量处理的解决方案。

亚马逊云科技中国峰会2024:通过API网关内置的访问控制策略,可以灵活地管理API端点的访问权限,包括账户、IP地址和时间段等多种维度的限制。

亚马逊云科技中国峰会2024:通过 API Gateway 和 Amazon Web Application Firewall (WAF) 的紧密集成,您可以精细控制 API 访问,防止 SQL 注入、跨站脚本攻击等威胁。

总结

亚马逊云科技的 API Gateway 是一个强大的 API 管理平台,为企业提供了统一的 API 入口、安全管控和监控功能。它支持 REST API 和 WebSocket 协议,可以通过区域级别或边缘优化的 API 端点进行访问。企业可以将 API Gateway 与 Lambda、SQS 等服务集成,实现同步或异步的 API 访问,还可以与私有网络集成。

API Gateway 提供了多种访问控制和授权方式,如资源策略、证书认证、Web应用防火墙集成等,确保 API 的安全性。此外,它还支持 JWT、Cognito 等授权方式,为企业提供了灵活的身份验证选择。通过 API Gateway,企业可以高效管理和保护其 API,满足不同业务场景的需求。

最后,张慈分享了捷豹路虎在汽车行业中利用 API Gateway 构建 API 管理平台的实践案例,展示了 API Gateway 在实际应用中的价值。亚马逊云科技致力于为企业提供安全、可靠、高性能的 API 管理解决方案,助力企业数字化转型。

2024年5月29日，亚马逊云科技中国峰会在上海召开。峰会期间，亚马逊全球副总裁、亚马逊云科技大中华区总裁储瑞松全面阐述了亚马逊云科技如何利用在算力、模型、以及应用层面丰富的产品和服务，成为企业构建和应用生成式 AI 的首选。此外，活动还详细介绍了亚马逊云科技秉承客户至尚的原则，通过与本地合作伙伴一起支持行业客户数字化转型和创新，提供安全、稳定、可信赖的服务，以及持续深耕本地、链接全球，助力客户在中国和全球化发展的道路上取得成功。