【以下的回答经过翻译处理】 对于您特定的用例,最简单的选择是使用 AWS_IAM授权:
- 创建一个角色,允许在GraphQL API资源(或子集操作)上执行
appsync:GraphQL
操作
- 将后端服务与该角色关联,使其可以使用 SigV4 对所有GraphQL请求进行签名
- 配置GraphQL API使用AWS_IAM安全性
这将要求所有客户端在所有客户端请求中附加有效的SigV4签名。
如果您想进一步限制API端点访问并拒绝未经授权的IP范围的连接请求,则可以考虑添加 WAF集成 并构建WAF规则仅允许来自预定义IP地址范围的连接。