保护AWS Appsync API端点不受公共互联网的访问,限制仅允许内部部署在VPC中的服务进行访问

0

【以下的问题经过翻译处理】 我有一个AWS Appsync GraphQL端点,它旨在仅用作后端服务。它并不打算暴露给公共互联网。如何保护端点,以便被部署在VPC和面向外部的AWS Appsync实例中的另一个后端服务使用?谢谢

profile picture
专家
已提问 4 个月前14 查看次数
1 回答
0

【以下的回答经过翻译处理】 对于您特定的用例,最简单的选择是使用 AWS_IAM授权

  • 创建一个角色,允许在GraphQL API资源(或子集操作)上执行 appsync:GraphQL 操作
  • 将后端服务与该角色关联,使其可以使用 SigV4 对所有GraphQL请求进行签名
  • 配置GraphQL API使用AWS_IAM安全性

这将要求所有客户端在所有客户端请求中附加有效的SigV4签名。

如果您想进一步限制API端点访问并拒绝未经授权的IP范围的连接请求,则可以考虑添加 WAF集成 并构建WAF规则仅允许来自预定义IP地址范围的连接。

profile picture
专家
已回答 4 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则