我正在使用 AWS Lambda 和 API Gateway 构建无服务器应用程序。为了防止 DDOS 攻击执行大量请求而花费我很多钱,我设置了一个带有请求配额的使用计划(例如 10K 请求/月)。这需要调用者将 API 密钥作为标头传递。
这看起来效果很好,但我还需要为此服务启用 CORS。为此,我需要允许未经授权的 OPTIONS 请求(“CORS preflight”请求),因为浏览器不支持在那里发送任何特殊标头。但后来我似乎找不到执行配额的方法,我又回到了原点:不受控制的这些请求数量可能会花费不可预见的金额。有没有办法排除这种可能性?
【问题讨论】:
标签: amazon-web-services cors aws-api-gateway
要对 OPTIONS 请求实施配额,请在 AWS WAF 中创建一个 Web ACL 并将其与 API Gateway 中的 API 阶段相关联。在 Web ACL 中添加基于速率的规则,以阻止超出您指定的速率限制的所有 OPTIONS 请求。 Web ACL 中的规则可以专门为此配置,如下所示:
有关整个过程的屏幕截图指导教程,请参阅my blog post。
【讨论】:
您无需为任何未经授权的 API-Gateway 调用付费。 AWS 正在承担这项费用。 您在请求获得授权后付款,并且只有在它不超过您的使用计划时才付款。
因此,如果有人在未经身份验证的情况下对您的 API 进行 DDOS,则它是免费的。
如果有人使用有效的 api 密钥进行 DDOS,您只需在超出使用计划之前付费。
查找更多信息here。
请求不收取授权和身份验证费用 失败。
使用 API 密钥时调用需要 API 密钥的方法不收费 丢失或无效。
API 网关限制的请求在请求速率时不收费 或突发率超过预先配置的限制。
当速率限制或 配额超出了预先配置的限制。
因此,请确保在您的 API 上启用身份验证,并为所有经过身份验证的请求制定使用计划。
【讨论】: