我还没有在互联网上看到有关AppSync如何偏转DDoS攻击的确切答案。我是新手,因此请耐心等待
我们的环境:我们将结合使用AppSync和AWS Cognito进行身份验证,并且它将仅由我们和某些客户端使用(因此没有公共访问权限)。我们可能不需要自定义域,因此不需要使用CloudFront进行分发,但是如果从保护的角度来看这对我们更好,那么我们也可以这样做。另外要注意的是,我知道AppSync的端点地址是自动生成的,可能很难被外部人员猜到,但是我仍然担心它会被公众访问,尤其是因为也许在某个时候我们可能想成为直接从我们的网站而不是后端使用AppSync端点。
我看到了两件事:
API网关上没有类似的限制(我不清楚限制的工作原理以及它如何为您提供保护,我假设对某些过度请求您的端点的IP施加了硬限制?)
由于AppSync是按请求付费,因此我看到,如果API网关受到AWS Cognito的保护且请求的身份验证失败(https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-pricing.html),则API网关不收取任何费用。我想知道同样的情况是否适用于AppSync,因为我们还将使用AWS Cognito。
由于我们正在谈论AWS Cognito,因此我们希望将对端点的访问限制为仅几个选定的IP地址。我读过AWS Cognito可以将IP范围列入白名单,但是也可以将特定的IP地址列入白名单吗? (我认为将/ 32放在IP范围的末尾?)
AppSync与AWS Shield和AWS WAF的交互是什么?
谢谢,对于任何愚蠢的问题,我们深表歉意。
最佳答案
我刚刚在论坛上回答了您的问题:https://forums.aws.amazon.com/thread.jspa?messageID=907577󝤹
我将在此处复制/粘贴,但是您可能会在该团队中看到任何跟进的信息。
在回答您的问题之前,请先简要说明一下-CloudFront目前是AppSync的必不可少的一部分。每个人都在那里。它确实为您提供了一些缓存和DDOS保护,因此,正如您所猜测的,它确实对所有人都有一定的安全价值。
AppSync不会公开由客户控制的自定义限制机制,但是它确实具有多层内部限制,可以防止多种形式的滥用流量。就是说,为客户提供节流限制是一个受欢迎的客户要求。您能帮助我们了解您计划通过节流解决的业务需求吗?
AppSync会对AppSync成功处理的请求收费。身份验证/授权错误不认为是AppSync无法处理请求的情况。
我相信那应该是可能的。
使用Cognito联合身份(通过IAM):https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
使用Cognito用户池:https://aws.amazon.com/blogs/security/how-to-use-new-advanced-security-features-for-amazon-cognito-user-pools/
我们无法评论AppSync与其他AWS服务的集成。您可以帮助我们了解您计划解决的业务需求吗?
关于amazon-web-services - AWS AppSync DDoS保护。有哪些选择?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/56888580/