正在寻找通过Amplify、API Gateway和Lambda构建无服务器应用程序的最佳实践。

【以下的问题经过翻译处理】 一位客户正在为体育赛事构建一个问答小程序。该系统的一个组件是一个移动应用程序，它与后端通信以获取问题。

他们正在使用Amplify构建应用程序。这将与API网关通信，而后者将调用Lambda函数。他们意识到人们可能会试图破解游戏，并在构建应用程序时寻找一些安全最佳实践。

到目前为止，我们一直在讨论以下内容：

• 使用WAF和API网关
• 使用Secrets Manager存储密码（如DB连接字符串）
• 使用Cognito或类似的身份验证来保护与API网关的连接

是否有其他服务或方法推荐？