[AWS SCS] API Gateway - 보안

API 게이트웨이 보안 설정 및 요청 처리 전략

API 게이트웨이는 서버리스 애플리케이션에서 중요한 역할을 합니다. 보안 설정은 매우 중요하며, 이를 통해 접근을 제한하고, 과도한 요청을 관리할 수 있습니다. 다음은 API 게이트웨이 보안 설정과 요청 처리 전략에 대한 설명입니다.

공개 REST API의 보안 설정

공개 REST API를 사용할 때, 리소스 정책을 설정하여 접근을 제한할 수 있습니다. 기본적으로 모든 이가 API를 실행할 수 있도록 허용하지만, 특정 IP 주소가 명시되지 않은 경우 접근을 거부하는 'deny' 절을 추가할 수 있습니다. 이러한 설정을 통해 특정 IP 주소로부터의 접근만 허용하여 보안을 강화할 수 있습니다.

프라이빗 API 접근

프라이빗 API를 사용할 경우, VPC 인터페이스 엔드포인트를 사용해야 합니다. 이는 다른 계정에서 접근하지 못하도록 차단하는 역할을 합니다. 예를 들어, 계정 A의 EC2 인스턴스가 프라이빗 API에 접근해야 한다면, 계정 A의 VPC 인터페이스 엔드포인트를 통해서만 접근할 수 있습니다. 이 방식은 VPC 피어링 없이도 프라이빗 API에 안전하게 접근할 수 있는 장점을 제공합니다.

요청 처리 전략

API 게이트웨이에서의 요청 처리 방식도 중요한 보안 요소입니다. 계정의 한도 설정을 통해 API 게이트웨이는 초당 최대 10,000건의 요청을 처리할 수 있습니다. 이 한도 설정을 통해 과도한 요청에 의한 과부하를 방지할 수 있으며, 과도한 요청 시에는 HTTP 코드 429로 'Too Many Requests' 오류가 발생합니다. 이를 방지하기 위해, 스테이지 한도나 메서드 한도를 설정하여 요청을 퍼져나가게 할 수 있습니다. 또한, 사용 계획을 통해 API 키를 고객에게 제공하고, 고객별 요청 한도를 설정하는 것도 좋은 방법입니다.

보안 및 접근 제어

API 게이트웨이에서는 보안을 더욱 강화할 수 있는 다양한 방법이 존재합니다. 예를 들어, IAM 롤을 통해 내부 애플리케이션에서 API 게이트웨이에 접근할 수 있으며, Amazon Cognito를 이용해 외부 사용자를 인증할 수 있습니다. 또한, 커스텀 인증자를 사용해 사용자 정의 로직을 적용할 수 있으며, AWS 인증 관리 서비스(AWS ACM)를 이용해 HTTPS 보안을 설정할 수 있습니다. 이 외에도, Route 53에서 도메인과 API 게이트웨이의 CNAME 또는 A-앨리스를 설정하여 보안을 더욱 강화할 수 있습니다.

 

이러한 전략을 통해 API 게이트웨이를 보다 안전하고 효율적으로 운영할 수 있습니다. 이는 향후 보안 시험이나 실제 애플리케이션 구축 시 중요한 보안 요구사항이 되므로, 각 설정과 전략에 대해 충분히 이해하고 실습해보는 것이 중요합니다.