答案1
我的观点是,将 API 网关放在 CloudFront 后面的互联网上可能足够安全。它就是为此而设计的。如果需要,您可以使用 CloudFront 来限制地理分布,但通常 AWS Shield 与 CloudFront / Route53 相结合将为您提供足够的 DDOS 保护。
您可以将 API 网关分发设为私有,然后通过 VPC/VPN 将其公开到互联网,但这需要更多工作和更多成本。我倾向于仅在提供仅由 AWS 中的单个应用程序使用的服务时才使用私有 API 网关。
API 网关是一种托管服务。AWS 不希望其托管服务受到 DDOS 攻击的影响,因此他们会保护这些服务并在发生 DDOS 攻击时缓解攻击。
如果你真的担心这个问题,你可以购买 AWS Shield Advanced,但每月费用为 3,000 美元。这通常由那些不以成本为主要考虑因素的企业使用。