我在互联网上没有看到关于AppSync如何抵御DDoS攻击的明确答案。对此我是一个新手,请耐心等待。
我们的情况是:我们将使用AWS Cognito进行身份验证,只有我们和一定数量的客户可以使用(因此没有公共访问)。我们可能不需要自定义域名,因此无需使用CloudFront进行分发,但如果从保护角度来看这更好,我们也可以这样做。另外,我知道AppSync的端点地址是自动生成的,可能很难被外部人员猜测,但我仍然担心它会被公众访问,特别是因为也许在某些时候我们想直接从我们的站点而不是从后端使用AppSync端点。
我看到两件事被提到:
- 没有像 API 网关那样的限流(我对限流如何工作和如何保护你还有一些不清楚,我假设对于过度请求你的端点的某些 IP,会强制实施硬性上限?)
- 由于 AppSync 是按请求付费的,我看到 API 网关如果受 AWS Cognito 保护且请求未通过身份验证,则不收取任何费用(https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-pricing.html)。我想知道是否适用于 AppSync,因为我们也将使用 AWS Cognito。
- 既然我们正在谈论 AWS Cognito,我们希望将对我们端点的访问限制为仅限少数几个选择的 IP 地址。我读到 AWS Cognito 可以列出 IP 范围,但它也可以列出特定的 IP 地址吗?(我认为在 IP 范围末尾加上 /32?)
- AppSync 与 AWS Shield 和 AWS WAF 的交互是什么?
谢谢,对于任何看起来愚蠢的问题,我很抱歉。