Вы можете скрыть свои секреты на веб-сервере, которым вы полностью контролируете, и затем этот сервер передает запрос в Amazon. Затем вы можете использовать любой метод шифрования / проверки, который вам нравится, поскольку вы не полагаетесь на то, что поддерживается Amazon.
После того, как вы подтвердите, что запрос поступил от вашего собственного приложения, вы затем переписываете запрос, включающий ваши секреты, и затем отправляете его в Amazon. Результат от Amazon может быть затем передан обратно в приложение.
В php это может быть сделано, например, с использованием чего-то похожего на этот фрагмент (без отображения перезаписи URL):
$fp = fopen($amazon_url,'r',false);
fpassthru($fp);
fclose($fp);