我有一个位于AWS之外的其他HTTP端点,但我想使用AWS API Gateway代理到该端点。什么是仅允许HTTP端点的请求通过API网关处理的最佳方法?
答案 0 :(得分:0)
一种可能性是使您的非AWS端点需要客户端TLS证书。 AWS API Gateway可以生成客户端证书,您的非AWS端点可以:
只要AWS生成的客户端证书不受损害,这就可以很好地保证您的非AWS端点的流量只来自AWS API网关。
来自AWS FAQs:
问:我可以验证它是API网关呼叫我的后端吗? 是。 Amazon API Gateway可以生成客户端SSL证书,并使您可以使用该证书的公钥。可以使用生成的证书调用后端,并且可以使用证书的公钥验证源自Amazon API Gateway的呼叫。