Lambda（私有子网）<-入口请求<-网关

【以下的问题经过翻译处理】 我对一个用例感到困惑，无法理解。希望得到一些指导。以下是场景描述。

VPC： 通过 Control Tower - Landing zone - Account creation 创建。 VPC 有 1 个公有子网和 3 个私有子网。

公有子网： 根据路由表配置，我拥有可从 Internet Gateway 访问的公有子网。 公有子网中的资源与允许互联网访问的 SecurityGroups 配对。

私有子网： 每个私有子网都映射在不同的路由表中，该路由表没有与 Internet Gateway 的映射。这种情况下没有 NAT Gateway。 因此，没有 VPC以外的入口或出口请求。不过我有 S3、Dynamodb 和 KMS 的 VPC终端节点。

NACL： 允许所有来源的入站和出站流量。只为了保持简单。

Lambda： Lambda 使用高级配置创建，并配置为在 VPC 内部的私有子网中运行。 Lambda 有一个简单工作是访问 KMS 端点并列出所有的 KMS-CMKS(s)。

API Gateway： 创建了一个公共 API，将 /GET Resource 映射到 lambda。

根据我的理解，VPC 只有一个入口点 Internet Gateway，不涉及 peering、transit gateway 或私有连接。 根据以上子网设计和路由，私有子网中的资源不应该对来自 VPC 外部的请求可访问。对吗？

然而，当我向 API 发出 GET 请求时，API Gateway 能够调用 lambda 并获取结果。