Назначение частных API-интерфейсов - разрешить доступ из определенной внутренней сети (например, подсети VPC, локальной сети).
Таким образом, если вам нужно настроить CloudFront, то запросы от CloudFront следует направлять в общедоступную конечную точку сети (например, на NLB с выходом в Интернет), а затем NLB может указывать на статические IP-адреса VPC.конечная точка, связанная с политикой ресурсов частного API.
Я не думаю, что вышеупомянутое решение подходит для производственных сред из-за определенных проблем безопасности, и точки интеграции могут быть повреждены, если кто-то обновит конфигурацию конечной точки VPC.Поэтому я бы сказал, что лучше не настраивать CloudFront перед частным API.
Не могли бы вы немного подробнее объяснить, почему вам нужно представить дистрибутив CloudFront перед частным API?Я могу предоставить альтернативу.Например, вы можете рассмотреть возможность введения правила WAF (https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-aws-waf.html), если вам нужно ограничить доступ к API из определенного домена (например, дистрибутив CloudFront).