保护和加密http API GW

【以下的问题经过翻译处理】 我多次提出了这个问题，但每次得到的答案都不符合我的场景描述 :)。

请仔细阅读场景:) :)

我有一个HTTP API GW（而不是REST GW），我想通过防止用户绕过CF直接命中它来保护这个GW。

由于HTTP GW不支持WAF，因此此处描述的场景不适用于我的情况：

https://wellarchitectedlabs.com/security/300_labs/300_multilayered_api_security_with_cognito_and_waf/3_prevent_requests_from_accessing_api_directly/

因为这意味着：

1- CF分发的源是API GW（但在我的情况下，我的源是S3存储桶）

2-API GW支持WAF以能够读取规则并阻止请求，这些请求不具有特定标头（但在我的情况下，我的HTTP GW不支持WAF）

由于这两个事实，我最终发现我不能使用上面文章中提出的解决方案（因为HTTP GW不支持WAF，因此无法读取WAF规则以阻止不具有由CloudFront注入的标头的请求）。

请问有没有一种解决方案来保护HTTP API GW并防止直接访问它？

用户=> CloudFront（带有S3存储桶作为源和链接到其上的WAF）=> Http GW（不是REST GW，没有链接到其上的WAF）=> NLB=> fargate群集。