Как заставить Aamzon API Gateway принимать запросы только от определенного хоста

Если вы беспокоитесь о том, что браузеры отправляют запросы к вашему API на www.example.com, этого не должно происходить, если у вас нет заголовков CORS, позволяющих другим доменам делать запросы. Но вне браузера любой может делать запросы к вашей точке доступа.

Однако вы можете аутентифицировать вызовы API. Это может быть простой ключ API, который находится на вашем клиенте, или временные учетные данные (вызовите STS, чтобы получить учетные данные для роли) для вызова вашего API. Но с усилием кто-то (посмотрите на свой исходный код и воспроизведите механизм вызова) все еще может вызвать ваш API. Вы можете увеличить уровень требуемых усилий, если разрешите только аутентифицированным пользователям (аутентифицированным с использованием некоторого имени/пароля и принудительно на шлюзе API) совершать вызовы API.

Если вы беспокоитесь о завышении счета, вы можете настроить план использования для своего ключа API и ограничить его до x количества вызовов в день/неделю/месяц.

Шлюз API поддерживает несколько механизмов аутентификации.

• Аутентификация IAM https://aws.amazon.com/premiumsupport/knowledge-center/iam-authentication-api-gateway/
• Ключ API http://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-setup-api-key-with-console.html
• Пулы пользователей Cognito http://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-integrate-with-cognito.html