保护API端点 (BP4)

当你必须API向公众公开时，API前端就有可能成为DDoS攻击的目标。为了帮助降低风险，您可以使用 Amazon API Gateway 作为在亚马逊EC2或其他地方运行的应用程序的入口。 AWS Lambda通过使用 Amazon API Gateway，您无需在API前端使用自己的服务器，并且可以混淆应用程序的其他组件。通过使检测应用程序组件变得更加困难，可以帮助防止这些 AWS 资源成为DDoS攻击的目标。

使用 Amazon API Gateway 时，您可以从两种类型的API终端节点中进行选择。第一个是默认选项：通过 Ama CloudFront zon 分配访问的边缘优化的API终端节点。但是，该发行版由 API Gateway 创建和管理，因此您无法对其进行控制。第二种选择是使用区域API终端节点，该终端节点可以从部署您的RESTAPI终端节点进行访问。 AWS 区域 AWS 建议您使用第二种终端节点并将其与您自己的 Amazon CloudFront 分销相关联。这使您可以控制 Amazon CloudFront 分发并能够 AWS WAF 用于应用程序层保护。此模式使您可以访问 AWS 全球边缘网络中扩展的DDoS缓解能力。

使用 Amazon CloudFront 和 AWS WAF Amazon API Gateway 时，请配置以下选项：

为您的分配配置缓存行为，以将所有标头转发到 Gate API way 区域终端节点。通过这样做， CloudFront 会将内容视为动态内容并跳过缓存内容。
通过在 API Gateway 中设置API密钥值，将分配配置为包含 Origin 自定义标头 x-api-key，保护您的API网关免受直接访问。
通过为每种方法配置标准或突发速率限制，保护后端免受过多流量的侵害RESTAPIs。

有关使用 Amazon API Gateway APIs 进行创建的更多信息，请参阅 Amazon API Gateway 入门。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

保护你的起源 (BP1,BP5)

操作技巧