Comment puis-je configurer un nom de domaine personnalisé pour mon API Gateway ?

Brève description

Pour les API Gateway; vous pouvez créer des noms de domaines personnalisés de deux types : Régionaux, ou (pour les API REST uniquement) optimisés pour la périphérie.

Remarque : les noms de domaines personnalisés ne sont pas pris en charge pour les API privées.

Voici comment configurer un nom de domaine personnalisé pour votre API Gateway :

• Demandez ou importez un certificat SSL/TLS.
• Créez le nom de domaine personnalisé de votre API REST, d’une API HTTP ou d’une API WebSocket.
• Testez la configuration en appelant votre API à l’aide du nouveau nom de domaine personnalisé.

Voici quelques-unes des principales différences entre les noms de domaines personnalisés régionaux et les noms de domaine optimisés pour la périphérie.

Différences concernant les points de terminaison cibles

Les noms de domaines personnalisés régionaux utilisent un point de terminaison d’API régional.

Les noms de domaines personnalisés optimisés pour la périphérie utilisent une distribution Amazon CloudFront.

Différences concernant les certificats SSL/TLS

Les noms de domaines personnalisés régionaux doivent utiliser un certificat SSL/TLS situé dans la même région AWS que votre API.

Les noms de domaine personnalisés optimisés pour la périphérie doivent utiliser un certificat situé dans la région suivante : USA Est (Virginie du Nord) (us-east-1).

Différences concernant les noms de domaines personnalisés

Les noms de domaines personnalisés régionaux peuvent être partagés par d’autres noms de domaine personnalisés régionaux situés dans différentes régions AWS.

Les noms de domaines personnalisés optimisés pour la périphérie sont uniques et peuvent être associés à une seule distribution CloudFront.

Différences concernant les mappages des noms de domaines

Un nom de domaine personnalisé régional pour une API WebSocket ne peut pas être mappé à une API REST ou HTTP. Au contraire, un domaine personnalisé régional peut être associé à des API REST et à des API HTTP.

Pour les API REST, les noms de domaines personnalisés régionaux comme les noms de domaines optimisés pour la périphérie peuvent être mappés à des points de terminaison d’API optimisés pour la périphérie, à des points de terminaison d’API régionaux, ou aux deux.

Pour les API WebSocket et les API HTTP, la seule version TLS prise en charge est TLS 1.2.

Résolution

Demande ou importation d’un certificat SSL/TLS

Avant de créer un nom de domaine personnalisé pour votre API, vous devez effectuer l’une des opérations suivantes :

• Demander un certificat SSL/TLS auprès d’AWS Certificate Manager (ACM).
  -ou-
• Importer un certificat SSL/TLS dans ACM.

Remarque : pour en savoir plus, consultez Préparation des certificats dans AWS Certificate Manager.

Lorsque vous demandez ou importez un certificat, tenez compte des exigences suivantes :

• Pour réussir les contrôles de validation du domaine, le certificat doit inclure le nom de domaine personnalisé comme nom de domaine alternatif.
  Remarque : pour en savoir plus sur les contrôles de validation avec les distributions CloudFront (pour les noms de domaines personnalisés optimisés pour la périphérie), consultez l’article Continually Enhancing Domain Security on Amazon CloudFront. Les noms de domaines personnalisés régionaux font l’objet de contrôles de validation similaires.
• Pour un nom de domaine personnalisé optimisé pour la périphérie, le certificat ACM doit se trouver dans la région suivante : USA Est (Virginie du Nord) (us-east-1).
• Pour un nom de domaine personnalisé régional, le certificat ACM doit se trouver dans la même région que votre API.

Création du nom de domaine personnalisé de l’API REST, de l’API HTTP ou de l’API WebSocket

Pour les API REST, suivez les instructions de la page Configuration des noms de domaine personnalisés pour les API REST.

Pour les API HTTP, suivez les instructions de la page Configuration des noms de domaine personnalisés pour les API HTTP.

Pour les API WebSocket, suivez les instructions de la section Configuration des noms de domaine personnalisés pour les API WebSocket.

Acheminement du trafic vers une API Gateway

Acheminez le trafic vers votre domaine personnalisé à l’aide d’Amazon Route 53. Cela vous permet de mieux contrôler les ressources auxquelles les utilisateurs ont accès lorsqu’ils visitent votre domaine.

Suivez les instructions de la section Configuration de Route 53 pour acheminer le trafic vers un point de terminaison d’API Gateway.

• Lors de la configuration de Route 53, il est nécessaire de créer une zone hébergée publique ou une zone hébergée privée. Pour les applications connectées à Internet comprenant des ressources que vous souhaitez mettre à la disposition des utilisateurs, choisissez une zone hébergée publique. Pour plus d’informations, consultez la section Utilisation de zones hébergées.
• Route 53 utilise des enregistrements pour déterminer où acheminer le trafic pour votre domaine. Les enregistrements d’alias facilitent la transmission des requêtes DNS vers les ressources AWS, tandis que les enregistrements CNAME (sans alias) peuvent rediriger les requêtes DNS en dehors des ressources AWS. Pour en savoir plus,consultez Choix entre des enregistrement avec ou sans alias.

Testez la configuration en appelant votre API à l’aide du nouveau nom de domaine personnalisé

1.    Exécutez une commande curl sur le nom de domaine à l’aide du mappage de chemin de base que vous avez indiqué lors de la création du nom de domaine personnalisé.
**Remarque :**Pour obtenir plus de renseignements sur curl, consultez le site Web du projet curl.

2.    Vérifiez que la réponse au nom de domaine personnalisé est identique à celle que vous obtenez lorsque vous appelez l’URL de l’étape d’API.

Informations connexes

Migration d’un nom de domaine personnalisé vers un point de terminaison d’API différent

Demande de certificat public