API GatewayリクエストのみがEC2インスタンスに到達できるようにする方法

マイクロサービスをホストする複数のEC2インスタンスがあります。サーバーの自動スケーリンググループにはELBがあります。すべてのトラフィックはAWS API Gateway経由でルーティングされます。問題は、ELBのHTTPSポートが世界中に公開されていることです。

サーバーを保護して、トラフィックがAPI Gatewayのみを通過できるようにする方法は？

2017年11月以降、VPC内のサーバーと直接やり取りできるようになりました\ o /

見る：

• /programming/32671394/can-i-specify-http-endpoint-in-a-vpc-as-resource-in-aws-api-gateway
• http://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-private-integration.html

HTTPSを世界に公開したくない場合のサーバーの最良の保護は、VPCでサーバーを分離することです。

ただし、API Gatewayは、VPC /サブネット内のサーバーと（まだ）直接対話するように構成できません。この制限を回避するために、APIゲートウェイからAWS Lambdaを介してトラフィックをプロキシしてVPCに到達できます。AWSブログには、その方法を正確に説明する優れたブログ投稿があります。

サーバーをVPCに分離すると、パブリックインターネット上にサーバーを維持し、トラフィックが正当であるかどうか（APIゲートウェイから）を検出するために何かを構築するよりも安全になります。