在AWS API Gateway中，如何限制HTTPS密码套件只使用提供完美前向保密性的密码套件？

有没有办法限制API网关中的密码协议？

据我所知，没有。 API Gateway似乎由CloudFront支持，后者也不允许TLS密码套件配置。

或者，有没有一种方法可以配置API网关，使其不终止HTTPS，而是将其转发到AWS负载均衡器

不可以，它无法进行TCP透传。

我的研究表明，API Gateway允许使用不支持完全前向保密性的密码协议进行HTTPS连接

是的。并非所有浏览器/用户代理程序都支持临时密钥，并且API Gateway需要支持所有这些代理（尽管该列表随着旧代理的消失而变得越来越小）。

API Gateway被配置为优先使用支持ECDHE的密码套件，因此，如果浏览器/用户代理支持ECDHE，则很可能会使用它。

如果您绝对必须限制密码协议套件的支持以提供FS，则必须找到其他解决方案，而不是API Gateway，或者在API Gateway之前放置反向代理，以确保使用FS，并找出一种仅限制API网关仅接受来自反向代理的连接的方法。

• https://aws.amazon.com/about-aws/whats-new/2019/06/amazon-api-gateway-adds-configurable-transport-layer-security-version-custom-domains/（原始答案）
• https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-custom-domain-tls-version.html