AWS - API Gateway Enum

Reading time: 15 minutes

API Gateway

基本情報

AWS API Gatewayは、開発者が大規模にAPIを作成、公開、管理するために設計された、Amazon Web Services（AWS）が提供する包括的なサービスです。これはアプリケーションへの入り口として機能し、開発者がルールと手順のフレームワークを確立することを許可します。このフレームワークは、外部ユーザーがアプリケーション内の特定のデータや機能にアクセスする方法を管理します。

API Gatewayは、APIへのリクエストがどのように処理されるべきかを定義することを可能にし、特定のメソッド（例：GET、POST、PUT、DELETE）とリソースを持つカスタムAPIエンドポイントを作成できます。また、開発者がアプリケーションからAPIを呼び出しやすくするためのクライアントSDK（ソフトウェア開発キット）を生成することもできます。

API Gatewayの種類

• HTTP API: OIDCやOAuth2などの組み込み機能とネイティブCORSサポートを備えた低遅延でコスト効果の高いREST APIを構築します。以下と連携します：Lambda、HTTPバックエンド。
• WebSocket API: チャットアプリケーションやダッシュボードなどのリアルタイムユースケースのために、持続的な接続を使用してWebSocket APIを構築します。以下と連携します：Lambda、HTTP、AWSサービス。
• REST API: リクエストとレスポンスを完全に制御できるREST APIを開発し、API管理機能を持ちます。以下と連携します：Lambda、HTTP、AWSサービス。
• REST API Private: VPC内からのみアクセス可能なREST APIを作成します。

API Gatewayの主なコンポーネント

1. リソース: API Gatewayにおけるリソースは、APIの構造を構成するコンポーネントです。これらはAPIの異なるパスやエンドポイントを表し、APIがサポートするさまざまなアクションに対応します。リソースは、各パス（/, または /users、または /user/{id}）内の各メソッド（例：GET、POST、PUT、DELETE）です。
2. ステージ: API Gatewayのステージは、開発、ステージング、または本番など、APIの異なるバージョンや環境を表します。ステージを使用して、APIの複数のバージョンを同時に管理および展開でき、新機能やバグ修正を本番環境に影響を与えずにテストできます。ステージはまた、現在のステージに基づいてAPIの動作を構成するために使用できるキーと値のペアであるステージ変数をサポートします。たとえば、ステージ変数を使用して、ステージに応じてAPIリクエストを異なるLambda関数や他のバックエンドサービスに向けることができます。

• ステージはAPI GatewayエンドポイントのURLの最初に示されます。

3. オーソライザー: API Gatewayのオーソライザーは、リクエストが進行する前に呼び出し元のアイデンティティを確認することによって、APIへのアクセスを制御する役割を担います。AWS Lambda関数をカスタムオーソライザーとして使用でき、独自の認証および認可ロジックを実装できます。リクエストが到着すると、API Gatewayはリクエストの認証トークンをLambdaオーソライザーに渡し、トークンを処理して呼び出し元が実行できるアクションを決定するIAMポリシーを返します。API Gatewayは、AWS Identity and Access Management (IAM)やAmazon Cognitoなどの組み込みオーソライザーもサポートしています。
4. リソースポリシー: API Gatewayのリソースポリシーは、APIへのアクセス権限を定義するJSONドキュメントです。これはIAMポリシーに似ていますが、API Gateway専用に調整されています。リソースポリシーを使用して、誰がAPIにアクセスできるか、どのメソッドを呼び出せるか、どのIPアドレスやVPCから接続できるかを制御できます。リソースポリシーはオーソライザーと組み合わせて使用することができ、APIに対する詳細なアクセス制御を提供します。

• リソースポリシーが変更された後、APIを再デプロイする必要があります。

ロギング

デフォルトでは、CloudWatch Logsはオフ、アクセスロギングはオフ、X-Rayトレースもオフです。

列挙

# Generic info
aws apigateway get-account
aws apigateway get-domain-names
aws apigateway get-usage-plans
aws apigateway get-vpc-links
aws apigateway get-client-certificates

# Enumerate APIs
aws apigateway get-rest-apis # This will also show the resource policy (if any)
## Get stages
aws apigateway get-stages --rest-api-id <id>
## Get resources
aws apigateway get-resources --rest-api-id <id>
## Get API resource action per HTTP verb (check authorizers and api key required)
aws apigateway get-method --http-method GET --rest-api-id <api-id> --resource-id <resource-id>

## Call API
https://<api-id>.execute-api.<region>.amazonaws.com/<stage>/<resource>
## API authorizers
aws apigateway get-authorizers --rest-api-id <id>
## Models
aws apigateway get-models --rest-api-id <id>
## More info
aws apigateway get-gateway-responses --rest-api-id <id>
aws apigateway get-request-validators --rest-api-id <id>
aws apigateway get-deployments --rest-api-id <id>

# Get api keys generated
aws apigateway get-api-keys --include-value
aws apigateway get-api-key --api-key <id> --include-value # Get just 1
## Example use API key
curl -X GET -H "x-api-key: AJE&Ygenu4[..]" https://e83uuftdi8.execute-api.us-east-1.amazonaws.com/dev/test
## Usage plans
aws apigateway get-usage-plans #Get limit use info
aws apigateway get-usage-plan-keys --usage-plan-id <plan_id> #Get clear text values of api keys
aws apigateway get-usage-plan-key --usage-plan-id <plan_id> --key-id <key_id>
###Already consumed
aws apigateway get-usage --usage-plan-id <plan_id> --start-date 2023-07-01 --end-date 2023-07-12

# Generic info
aws apigatewayv2 get-domain-names
aws apigatewayv2 get-domain-name --domain-name <name>
aws apigatewayv2 get-vpc-links

# Enumerate APIs
aws apigatewayv2 get-apis # This will also show the resource policy (if any)
aws apigatewayv2 get-api --api-id <id>

## Get all the info from an api at once
aws apigatewayv2 export-api --api-id <id> --output-type YAML --specification OAS30 /tmp/api.yaml

## Get stages
aws apigatewayv2 get-stages --api-id <id>

## Get routes
aws apigatewayv2 get-routes --api-id <id>
aws apigatewayv2 get-route --api-id <id> --route-id <route-id>

## Get deployments
aws apigatewayv2 get-deployments --api-id <id>
aws apigatewayv2 get-deployment --api-id <id> --deployment-id <dep-id>

## Get integrations
aws apigatewayv2 get-integrations --api-id <id>

## Get authorizers
aws apigatewayv2 get-authorizers --api-id <id>
aws apigatewayv2 get-authorizer --api-id <id> --authorizer-id <uth-id>

## Get domain mappings
aws apigatewayv2 get-api-mappings --api-id <id> --domain-name <dom-name>
aws apigatewayv2 get-api-mapping --api-id <id> --api-mapping-id <map-id> --domain-name <dom-name>

## Get models
aws apigatewayv2 get-models --api-id <id>

## Call API
https://<api-id>.execute-api.<region>.amazonaws.com/<stage>/<resource>

API Gateway エンドポイントにアクセスするための異なる認証

リソースポリシー

リソースポリシーを使用して、誰が API エンドポイントを呼び出すことができるかを定義することが可能です。
以下の例では、指定された IP は GET を介してエンドポイント /resource_policy を呼び出すことができません。

IAM 認証

パス内のメソッド（リソース）が呼び出すために IAM 認証を必要とするように設定することが可能です。

これが設定されると、認証なしでエンドポイントにアクセスしようとすると、エラー {"message":"Missing Authentication Token"} が返されます。

アプリケーションが期待するトークンを生成する簡単な方法は、curl を使用することです。

$ curl -X <method> https://<api-id>.execute-api.<region>.amazonaws.com/<stage>/<resource> --user <AWS_ACCESS_KEY>:<AWS_SECRET_KEY> --aws-sigv4 "aws:amz:<region>:execute-api"

別の方法は、Postman内で**AuthorizationタイプのAWS Signature**を使用することです。

使用したいアカウントのaccessKeyとSecretKeyを設定すると、APIエンドポイントに対して認証できます。

どちらの方法も、次のようなAuthorization headerを生成します：

AWS4-HMAC-SHA256 Credential=AKIAYY7XU6ECUDOTWB7W/20220726/us-east-1/execute-api/aws4_request, SignedHeaders=host;x-amz-date, Signature=9f35579fa85c0d089c5a939e3d711362e92641e8c14cc571df8c71b4bc62a5c2

他のケースでは、Authorizerが不適切にコーディングされている可能性があり、Authorization header内に何でも送信することで隠されたコンテンツを見ることができることに注意してください。

Pythonを使用したリクエスト署名

pip install requests
pip install requests-aws4auth
pip install boto3

import boto3
import requests
from requests_aws4auth import AWS4Auth

region = 'us-east-1'  # Region
service = 'execute-api'
access_key = 'YOUR_ACCESS_KEY'
secret_key = 'YOUR_SECRET_KEY'

url = 'https://<apiid>.execute-api.us-east-1.amazonaws.com/<stage>/<resource>'

session = boto3.Session(aws_access_key_id=access_key, aws_secret_access_key=secret_key)
credentials = session.get_credentials()
awsauth = AWS4Auth(credentials.access_key, credentials.secret_key, region, service, session_token=credentials.token)

response = requests.get(url, auth=awsauth)

print(response.text)

カスタム Lambda 認証者

特定のトークンに基づいて、IAM ポリシーを返す Lambda を使用することが可能であり、これによりユーザーがAPI エンドポイントを呼び出す権限があるかどうかを示します。
認証者を使用する各リソースメソッドを設定できます。

import json

def lambda_handler(event, context):
token = event['authorizationToken']
method_arn = event['methodArn']

if not token:
return {
'statusCode': 401,
'body': 'Unauthorized'
}

try:
# Replace this with your own token validation logic
if token == "your-secret-token":
return generate_policy('user', 'Allow', method_arn)
else:
return generate_policy('user', 'Deny', method_arn)
except Exception as e:
print(e)
return {
'statusCode': 500,
'body': 'Internal Server Error'
}

def generate_policy(principal_id, effect, resource):
policy = {
'principalId': principal_id,
'policyDocument': {
'Version': '2012-10-17',
'Statement': [
{
'Action': 'execute-api:Invoke',
'Effect': effect,
'Resource': resource
}
]
}
}
return policy

次のように呼び出します：

curl "https://jhhqafgh6f.execute-api.eu-west-1.amazonaws.com/prod/custom_auth" -H 'Authorization: your-secret-token'

拒否ポリシーが生成されて返される場合、API Gatewayから返されるエラーは次のとおりです：{"Message":"User is not authorized to access this resource with an explicit deny"}

この方法で、この認証が存在することを特定できます。

必要なAPIキー

有効なAPIキーが必要なAPIエンドポイントを設定することが可能です。

API GatewayポータルでAPIキーを生成し、使用量（リクエスト毎秒および月間リクエスト数）を設定することも可能です。

APIキーを機能させるには、使用プランに追加する必要があります。この使用プランはAPIステージに追加され、関連するAPIステージにはAPIキーを必要とするエンドポイントに対してメソッドスロットリングが設定されている必要があります：

認証されていないアクセス

AWS - API Gateway Unauthenticated Enum

プライバシー昇格

AWS - Apigateway Privesc

ポストエクスプロイテーション

AWS - API Gateway Post Exploitation

永続性

AWS - API Gateway Persistence