As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Protegendo API endpoints () BP4
Quando você precisa expor um API ao público, existe o risco de o API front-end ser alvo de um DDoS ataque. Para ajudar a reduzir o risco, você pode usar o Amazon API Gateway como porta
Ao usar o Amazon API Gateway, você pode escolher entre dois tipos de API endpoints. A primeira é a opção padrão: API endpoints otimizados para borda que são acessados por meio de uma distribuição da Amazon. CloudFront No entanto, a distribuição é criada e gerenciada pelo API Gateway, então você não tem controle sobre ela. A segunda opção é usar um API endpoint regional que seja acessado do mesmo Região da AWS em que o seu REST API está implantado. AWS recomenda que você use o segundo tipo de endpoint e o associe à sua própria CloudFront distribuição da Amazon. Isso lhe dá controle sobre a CloudFront distribuição da Amazon e a capacidade de uso AWS WAF para proteção da camada de aplicação. Esse modo fornece acesso à capacidade de DDoS mitigação escalonada em toda a rede de borda AWS global.
Ao usar a Amazon CloudFront e AWS WAF com o Amazon API Gateway, configure as seguintes opções:
-
Configure o comportamento do cache de suas distribuições para encaminhar todos os cabeçalhos para o endpoint regional do API Gateway. Ao fazer isso, CloudFront tratará o conteúdo como dinâmico e ignorará o armazenamento em cache do conteúdo.
-
Proteja seu API Gateway contra acesso direto configurando a distribuição para incluir o cabeçalho personalizado de origem x-api-key, definindo o valor da APIchave no API Gateway.
-
Proteja o back-end do excesso de tráfego configurando limites padrão ou de taxa de intermitência para cada método em seu. REST APIs
Para obter mais informações sobre a criação APIs com o Amazon API Gateway, consulte Amazon API Gateway