Comment protéger le point de terminaison de la passerelle API AWS contre les attaques DDos?
Récemment, j'ai travaillé avec la passerelle AWS API où j'ai créé une API et je l'ai protégée avec la clé API et Cognito (OAuth).
Un jour, j'ai découvert que mon API a été consultée 10 000 fois, ce qui a échoué car l'attaquant n'y a pas eu accès.
Ma question est: Amazon facture-t-il ces appels API non autorisés? S'ils facturent alors comment le protéger. Si je comprends bien, même si je mets WAF devant, mon URL d'API sera toujours exposée ....
Toute aide est appréciée ...
Si vous protégez votre point de terminaison avec les types d'autorisation suivants: AWS_IAM, CUSTOM et COGNITO_USER_POOLS, API Gateway ne sera pas facturé pour les demandes ayant échoué. Veuillez faire référence à Pricing Documentation . Référence également Secure AWS API Gateway with Lambda Integration
Ce que vous décrivez est un type d'attaque DDoS.
Voici ce que vous devez faire pour protéger votre API Gateway Endpoint de DDoS attaque.
1) Create your API
2) Setup CloudFront distribution to your API
3) Front your CloudFront distribution with AWS WAF.
4) Create ACL rule and set requester limit to what you deem appropriate.
5) Test.
Vous devez toujours utiliser AWS_IAM ou Cognito pour faire la partie autorisation.
Voici le document qui détaille les étapes: