我有一个位于AWS之外的其他HTTP endpoints ,但我想使用AWS API Gateway代理到该 endpoints . 什么是仅允许HTTP endpoints 的请求通过API网关处理的最佳方法?
一种可能性是使您的非AWS endpoints 需要客户端TLS证书 . AWS API Gateway可以生成客户端证书,您的非AWS endpoints 可以:
需要客户端证书(如果未提供,则忽略/不允许)
使用API网关证书公钥来验证客户端是您的API网关 .
这可以确保您的非AWS endpoints 的流量仅通过AWS API网关传输,只要AWS生成的客户端证书不受损害即可 .
来自AWS FAQs:
问:我可以验证它是API网关呼叫我的后端吗?是 . Amazon API Gateway可以生成客户端SSL证书,并使您可以使用该证书的公钥 . 可以使用生成的证书调用后端,并且可以使用证书的公钥验证源自Amazon API Gateway的呼叫 .
1 回答
一种可能性是使您的非AWS endpoints 需要客户端TLS证书 . AWS API Gateway可以生成客户端证书,您的非AWS endpoints 可以:
需要客户端证书(如果未提供,则忽略/不允许)
使用API网关证书公钥来验证客户端是您的API网关 .
这可以确保您的非AWS endpoints 的流量仅通过AWS API网关传输,只要AWS生成的客户端证书不受损害即可 .
来自AWS FAQs: