Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

使用公共端点保护工作负载

对于可公开访问的工作负载，Amazon 提供了许多有助于降低某些风险的功能和服务。本节介绍应用程序用户的身份验证和授权以及保护 API 端点。

身份验证和授权

身份验证与身份相关，授权涉及操作。使用身份验证来控制谁可以调用 Lambda 函数，然后使用授权来控制调用者可以执行的操作。对于许多应用程序来说，IAM 足以管理这两种控制机制。

对于具有外部用户的应用程序，例如 Web 或移动应用程序，通常使用 JSON Web 令牌（JWT）来管理身份验证和授权。与传统的基于服务器的密码管理不同，JWT 在每次请求时都会从客户端传递。它们是一种加密的安全方式，可使用从客户端传递的数据来验证身份和声明。对于基于 Lambda 的应用程序，这使您可以保护对每个 API 端点的每次调用，而无需依赖中央服务器进行身份验证。

您可以使用 Amazon Cognito 实施 JWT，这是一种可以处理注册、身份验证、账户恢复和其他常见账户管理操作的用户目录服务。Amplify Framework 提供了一些库，可简化将此服务集成到前端应用程序中的过程。您还可以考虑第三方合作伙伴服务，例如 Auth0。

鉴于身份提供者服务的关键安全角色，使用专业工具来保护您的应用程序非常重要。不建议您自己编写服务来处理身份验证或授权。自定义库中的任何漏洞都可能对您的工作负载及其数据的安全性产生重大影响。

保护 API 端点

对于无服务器应用程序，公开为后端应用程序提供服务的首选方式是使用 Amazon API Gateway。这可以帮助您保护 API 免受恶意用户或流量激增的侵害。

API Gateway 为无服务器开发人员提供了两种端点类型：REST API 和 HTTP API。两者都支持使用 Amazon Lambda 授权、IAM 授权或 Amazon Cognito 授权。使用 IAM 或 Amazon Cognito 时，会评估传入的请求，如果这些请求缺少所需的令牌或包含无效的身份验证，则会拒绝该请求。您无需为这些请求付费，并且这些请求不计入任何限制配额。

公共互联网上的任何人皆可访问未经身份验证的 API 路由，因此建议您限制使用未经身份验证的 API。如果您必须使用未经身份验证的 API，务必保护它们免受常见风险，例如拒绝服务（DoS）攻击。将 Amazon WAF 应用到这些 API 可以帮助保护您的应用程序免受 SQL 注入和跨站脚本攻击（XSS）。使用 API 密钥时，API Gateway 还会在 Amazon 账户级别和每个客户端级别实施节流。

在许多情况下，未经身份验证的 API 所提供的功能可以通过其他方法来实现。例如，Web 应用程序可以向未登录的用户提供来自 DynamoDB 表的客户零售商店列表。此请求可能来自前端 Web 应用程序或任何其他调用 URL 端点的源。此图比较了三种解决方案：