Этот вопрос никоим образом не связан с API Gateway или AWS.
Передача паролей в строках запроса - очень плохая практика , поскольку URL-адреса обычно регистрируются на серверах. Пароли всегда должны быть размещены.
Если вы не хотите передавать пароли в открытом виде, вы можете взглянуть на протокол Secure Remote Password .