本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 保护API端点 (BP4) 当你必须API向公众公开时,API前端就有可能成为DDoS攻击的目标。为了帮助降低风险,您可以使用 [Amazon API Gateway](https://aws.amazon.com/api-gateway/) 作为在亚马逊EC2或其他地方运行的应用程序的入口。 AWS Lambda通过使用 Amazon API Gateway,您无需在API前端使用自己的服务器,并且可以混淆应用程序的其他组件。通过使检测应用程序组件变得更加困难,可以帮助防止这些 AWS 资源成为DDoS攻击的目标。 使用 Amazon API Gateway 时,您可以从两种类型的API终端节点中进行选择。第一个是默认选项:通过 Ama CloudFront zon 分配访问的边缘优化的API终端节点。但是,该发行版由 API Gateway 创建和管理,因此您无法对其进行控制。第二种选择是使用区域API终端节点,该终端节点可以从部署您的RESTAPI终端节点进行访问。 AWS 区域 AWS 建议您使用第二种终端节点并将其与您自己的 Amazon CloudFront 分销相关联。这使您可以控制 Amazon CloudFront 分发并能够 AWS WAF 用于应用程序层保护。此模式使您可以访问 AWS 全球边缘网络中扩展的DDoS缓解能力。 使用 Amazon CloudFront 和 AWS WAF Amazon API Gateway 时,请配置以下选项: + 为您的分配配置缓存行为,以将所有标头转发到 Gate API way 区域终端节点。通过这样做, CloudFront 会将内容视为动态内容并跳过缓存内容。 + 通过在 API Gateway 中设置[API密钥](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-setup-api-key-with-console.html)值,将分配配置为包含 Origin 自定义标头 x-api-key,保护您的API网关免受直接访问。 + 通过为每种方法配置标准或突发速率限制,保护后端免受过多流量的侵害RESTAPIs。 有关使用 Amazon API Gateway APIs 进行创建的更多信息,请参阅 [Amazon API Gateway](https://aws.amazon.com/api-gateway/getting-started/) [入门](https://aws.amazon.com/api-gateway/getting-started/)。