是否可以在AWS API网关上设置客户端TLS身份验证?
我不是指API网关和Elastic Beanstalk之间,正如这里所描述的那样,而是指客户端和API网关本身之间,可能有一个自定义授权人(例如Lambda(,在将请求转发到Elastic Beanstalk之前检查证书的有效性。
您可以通过为您的api创建一个自定义域名并将cert添加到您的自定义域名来实现这一点
以下是如何为自定义域设置证书-
要为边缘优化的自定义域名提供证书,您可以请求AWS证书管理器(ACM(在ACM中生成新证书,或将第三方证书颁发机构颁发的证书导入ACM。
要为支持ACM的地区的区域自定义域名提供证书,您必须向ACM申请证书。若要为不支持ACM的区域中的区域自定义域名提供证书,必须将证书导入该区域中的API网关。
若要导入SSL/TLS证书,必须提供PEM格式的SSL/TLS凭证主体、其私钥以及自定义域名的凭证链。存储在ACM中的每个证书都由其ARN标识。要将AWS托管证书用于域名,只需参考其ARN即可。
ACM使为API设置和使用自定义域名变得简单:在ACM中创建或导入给定域名的证书,在API网关中使用ACM提供的证书的ARN设置域名,并将自定义域名下的基本路径映射到API的部署阶段。使用ACM颁发的证书,您不必担心暴露任何敏感的证书详细信息,例如私钥。
参考编号:https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-custom-domains.html