【AWS】API Gateway Privateについて

API Gatewayは、下図の通り4種類あります。プライベート API Gateway の「プライベート」とは、「パブリックから直接アクセスできない」となるだけで、あなただけがアクセスできるプライベートネットワーク内の API という意味ではありません。（だって、それって VPC ですよね。API Gateway は VPC に属しません）
なので、AWS のプライベートネットワーク内においては特に制限をしない限り、誰でもアクセスできる API Gateway です。


プライベート API GatewayはInterface Endpoint経由でアクセスしているので、内部といってもリソースポリシーが必要です。

■リソースポリシー

リソースポリシー

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "execute-api:Invoke",
      "Resource": "arn:aws:execute-api:ap-northeast-1:809449918173:dd75nu3d01/*"
    },
    {
      "Effect": "Deny",
      "Principal": "*",
      "Action": "execute-api:Invoke",
      "Resource": "arn:aws:execute-api:ap-northeast-1:809449918173:dd75nu3d01/*",
      "Condition": {
        "StringNotEquals": {
          "aws:SourceVpce": "vpce-0c76e9272ffbeef67"
        }
      }
    }
  ]
}

■API Gateway

作成時、エンドポイントの入力は求められています。

■API Gateway Endpoint

AZ二つ跨いでいるので、各ENIに対して適切なセキュリティグループの作成が必要です。