Каков наилучший способ ограничить доступ к Application Load Balancer?

Question

В идеале я бы хотел заблокировать свой ALB, чтобы к нему мог обращаться только API-шлюз.

Я посмотрел, могу ли я связать шлюз API с правилом входящих сообщений, однако обнаружил, что шлюз API нельзя связать с IP-адресом или группой безопасности.Я также изучил ALB, обращенный к внутренней стороне, но я не смог заставить их работать, поскольку ссылка VPC поддерживает только NLB.

Любая помощь будет принята с благодарностью - я искал в настройках шлюзано не могу найти эту опцию.

Каков наилучший способ приблизиться к этому, чтобы ALB был максимально ограничен?

Answer 1

Шлюз API не имеет статического IP-адреса, и в настоящий момент ALB не предлагают никакой аутентификации, кроме Cognito User Pools.Поэтому я бы сказал, что ваш лучший вариант - использовать канал VPC с Network Load Balancer, когда вы предлагаете, и направлять запрос через NLB на ваш ALB.

В качестве альтернативы у вас может быть лямбда внутри вашего VPC, чтобы вызывать ALB, но это будет намного медленнее, но дешевле для низких объемов, потому что вы пропускаете NLB.