答案1
我的觀點是,在 CloudFront 後面的互聯網上放置 API 網關可能足夠安全。它的設計正是為了做到這一點。如果需要,您可以使用 CloudFront 來限制地理分佈,但通常 AWS Shield 與 CloudFront / Route53 結合將為您提供足夠的 DDOS 保護。
您可以將 API 網關指派設為私有,然後透過 VPC/VPN 將其公開到互聯網,但這會增加工作量和成本。我傾向於僅在提供僅由 AWS 中的單一應用程式使用的服務時才使用私有 API 閘道。
API 閘道是一項託管服務。 AWS 不希望他們的託管服務因 DDOS 攻擊而癱瘓,因此他們會保護這些服務並在 DDOS 攻擊發生時減輕這些攻擊。
如果您確實擔心這一點,您可以隨時支付 AWS Shield Advanced 的費用,但每月費用為 3,000 美元。這通常被成本不是主要因素的企業使用。