Amazon web services 使用Lambda集成保护AWS API网关

我正在使用API网关创建一个公开可用的API，该API网关由lambda函数支持，以进行一些处理。我用一个自定义的安全头来保护它，该头使用时间戳实现hmac身份验证，以防止重播攻击。 据我所知，API网关通过其高可用性抵御DDOS攻击，但任何无效请求仍将传递给lambda身份验证功能。因此，我猜攻击者可以提交无效的未经验证的请求，从而导致高成本。这需要相当多的请求才能造成损害，但仍然是可行的。防止这种情况发生的最好方法是什么？

---

谢谢

要防止DDoS和更高的访问速率，您可以设置。了解一下这一点，以便更深入地了解如何使用API Gateway设置WAF。

API Gateway不会对未经验证的请求向您收费，但是，您将由Lambda对授权人的调用收费

API网关以授权者上的“身份验证表达式”的形式提供了对该问题的半有用的缓解措施，该表达式只是一个与传入身份源头匹配的正则表达式

---

除此之外，您可能希望自己在Authorizer函数中实现某种负缓存或验证，以最小化计费毫秒数。

刚才看到这是否意味着lambda Authorizer触发的未授权请求不收费？谢谢，Jack，我会尝试这些选择，但请纠正我，如果我错了，因为我觉得这只能部分解决问题。是否有任何方法可以完全防止自动攻击，该攻击会生成随机（且无效）的身份验证令牌，并使API网关充斥这些令牌，从而给组织带来高昂的费用成本？你认为一个随机化令牌的脚本可以击败那些解决方案吗？我的挑战是客户通过动态分配安全凭据的门户注册。也许可以使用AmazonSDK动态创建API密钥作为第一道防线？亚马逊对失败的API密钥收费吗？对失败的API密钥不收费