1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 从您的问题中我了解到您想要通过WAF保护API,但是由于您使用了不支持WAF的HTTP API,因此您在CloudFront中启用了它,并且希望确保到达网关的请求来自CF,并且没有绕过它,因此绕过了WAF。
您必须了解CloudFront可能有多个源:S3用于页面的静态内容和API Gateway用于动态内容(API调用)。客户端访问CF,CF将一些请求转发到S3,将API请求转发到API Gateway。通常通过域名或路径完成,例如,site.example.com将被转发到S3,api.example.com将被转发到API GW。
为了验证请求来自CF,需要创建一个包含某个秘密值的头,并由API Gateway进行验证。您提到的链接显示了如何在CF中完成这项工作。由于您提到HTTP API不支持WAF,为了验证头部的值,它确实支持Lambda授权者。您可以在Lambda授权者中验证秘密头的值。
相关内容
- AWS 官方已更新 1 年前
- AWS 官方已更新 1 年前