保护AWS Appsync API端点不受公共互联网的访问，限制仅允许内部部署在VPC中的服务进行访问

Question

【以下的问题经过翻译处理】 我有一个AWS Appsync GraphQL端点，它旨在仅用作后端服务。它并不打算暴露给公共互联网。如何保护端点，以便被部署在VPC和面向外部的AWS Appsync实例中的另一个后端服务使用？谢谢

Answer

【以下的回答经过翻译处理】 对于您特定的用例，最简单的选择是使用 [AWS\_IAM授权](https://docs.aws.amazon.com/appsync/latest/devguide/security-authz.html#aws-iam-authorization)：

* 创建一个角色，允许在GraphQL API资源（或子集操作）上执行 `appsync:GraphQL` 操作
* 将后端服务与该角色关联，使其可以使用 [SigV4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) 对所有GraphQL请求进行签名
* 配置GraphQL API使用AWS\_IAM安全性

这将要求所有客户端在所有客户端请求中附加有效的SigV4签名。

如果您想进一步限制API端点访问并拒绝未经授权的IP范围的连接请求，则可以考虑添加 [WAF集成](https://docs.aws.amazon.com/appsync/latest/devguide/WAF-Integration.html) 并构建WAF规则仅允许来自预定义IP地址范围的连接。

保护AWS Appsync API端点不受公共互联网的访问，限制仅允许内部部署在VPC中的服务进行访问

相關內容