¿Cómo puedo configurar un nombre de dominio personalizado para mi API de API Gateway?

Descripción corta

Para las API de API Gateway puedes crear nombres de dominio personalizados de dos tipos: regionales u optimizados para la periferia (solo para API de REST).

Nota: API Gateway admite nombres de dominio personalizados para API privadas.

Para configurar un nombre de dominio personalizado para tu API de API Gateway, sigue estos pasos:

• Solicita o importa un certificado SSL/TLS.
• Crea el nombre de dominio personalizado para tu API de REST, API HTTP o API de WebSocket.
• Para probar la configuración, usa el nuevo nombre de dominio personalizado para llamar a tu API.

Para configurar correctamente un dominio personalizado, debes comprender las diferencias entre los tipos de nombres de dominio personalizados. A continuación se explican algunas diferencias clave entre los nombres de dominio personalizados regionales y los optimizados para la periferia:

• Para los puntos de enlace de destino, los nombres de dominio personalizados regionales utilizan un punto de enlace de API regional. Los nombres de dominio personalizados optimizados para la periferia utilizan una distribución de Amazon CloudFront.
• Para los certificados SSL/TLS, los nombres de dominio personalizados regionales deben usar un certificado SSL/TLS que se encuentre en la misma región de AWS que tu API. Los nombres de dominio personalizados optimizados para la periferia deben usar un certificado que esté en la siguiente región: Este de EE. UU. (norte de Virginia) (us-east-1).
• En el caso de los nombres de dominio personalizados, puedes compartir nombres de dominio personalizados regionales en diferentes regiones de AWS. Los nombres de dominio personalizados optimizados para la periferia son únicos. No puedes asociar nombres de dominio personalizados a más de una distribución de CloudFront.
• En el caso de los nombres de dominio, no puedes asignar un nombre de dominio regional personalizado para una API de WebSocket a una API de REST o HTTP. Sin embargo, puedes asociar un dominio personalizado regional a las API de REST y las API HTTP. En el caso de las API de REST, tanto los nombres de dominio personalizados regionales como los optimizados para la periferia pueden tener asignaciones para puntos de enlace de API optimizados para la periferia, para puntos de enlace de API regionales, o para ambos. En el caso de las API de WebSocket y las API HTTP, TLS 1.2 es la única versión de TLS compatible.

Solución

Solicitud o importación de un certificado SSL/TLS

Antes de crear un nombre de dominio personalizado para tu API, debes realizar una de las siguientes acciones:

• Solicita un certificado SSL/TLS de AWS Certificate Manager (ACM).
• Importa un certificado SSL/TLS a ACM.

Nota: Para obtener más información, consulta Preparación de certificados en AWS Certificate Manager.

Al solicitar o importar el certificado, debes cumplir los siguientes requisitos:

• Para superar las comprobaciones de validación del dominio, el certificado debe incluir el nombre de dominio personalizado como nombre de dominio alternativo.
  Nota: Para obtener más información sobre las comprobaciones de validación con las distribuciones de CloudFront para nombres de dominio personalizados optimizados para la periferia, consulta Continually Enhancing Domain Security on Amazon CloudFront (Mejora continua de la seguridad de los dominios en Amazon CloudFront). Existen comprobaciones de validación similares para los nombres de dominio personalizados regionales.
• En el caso de un nombre de dominio personalizado regional, el certificado de ACM se debe encontrar en la misma región que tu API.

Creación de un nombre de dominio personalizado para la API de REST, API HTTP o API de WebSocket

Para las API de REST, sigue las instrucciones que se indican en Nombre de dominio personalizado para las API de REST públicas en API Gateway.

En el caso de las API HTTP, sigue las instrucciones que se indican en Nombres de dominio personalizados para las API HTTP en API Gateway.

En el caso de las API de WebSocket, sigue las instrucciones que se indican en Nombres de dominio personalizados para las API de WebSocket en API Gateway.

Enrutamiento del tráfico a una API de API Gateway

Para enrutar el tráfico a tu dominio personalizado, utiliza Amazon Route 53.

Para enrutar el tráfico a tu API de API Gateway, sigue las instrucciones de Configuración de Route 53 para dirigir el tráfico a un punto de enlace de API Gateway.

Cuando configures Route 53, debes crear una zona alojada pública o una zona alojada privada. Elige una zona alojada pública para las aplicaciones con acceso a Internet con recursos que desees poner a disposición de los usuarios. Para obtener más información, consulta Uso de zonas alojadas.

Para determinar hacia dónde se enruta el tráfico de tu dominio, Route 53 usa registros. Los registros de alias facilitan las consultas de DNS a los recursos de AWS, mientras que los registros CNAME (sin alias) pueden redirigir las consultas de DNS fuera de los recursos de AWS. Para obtener más información, consulta Elección entre registros de alias y sin alias.

Probar la configuración

Para probar la configuración, puedes usar el nuevo nombre de dominio personalizado para llamar a la API:

1. Usa la asignación de rutas base que especificaste al crear el nombre de dominio personalizado para ejecutar un comando curl en el nombre de dominio.
   Nota: Para obtener más información sobre curl, consulta el sitio web del proyecto curl.
2. Comprueba que la respuesta al nombre de dominio personalizado sea la misma que recibes al invocar la URL de la etapa de la API.

Información relacionada

Migración de un nombre de dominio personalizado a otro tipo de punto de enlace de API en API Gateway

Solicitud de un certificado público en AWS Certificate Manager