Lambda集成的安全AWS API网关

Question

我正在使用API创建一个可公开使用的API，该API以lambda函数为后盾进行一些处理。我用一个自定义的安全头来保护它，它实现了带有时间戳的hmac身份验证，以防止重播攻击。我知道API网关通过其高可用性来防止DDOS攻击，但是任何无效的请求仍将传递给lambda身份验证函数。因此，我猜攻击者可能会提交无效的未经身份验证的请求，造成很高的成本。这将需要相当数量的请求造成损害，但它仍然是非常可行的。防止这种情况发生的最好办法是什么？谢谢

Answer 1

API网关不会向您收取未经身份验证的请求，但是Lambda将向您收取在授权程序上调用的费用。

API网关以Authorizer上的“身份验证表达式”的形式提供了对此问题的半有用的缓解，这只是一个与传入的身份源标头相匹配的正则表达式。

此外，您可能只需要在Authorizer函数中实现某种负缓存或验证，以尽量减少记帐毫秒。

Answer 2

为了防止DDoS和更高的访问率，您可以设置WAF。请看一下这个链接，以便更深入地了解如何使用API设置WAF。