限制仅对API网关的后端访问的推荐方法是使用客户端证书。看到 文档在这里
请注意,如果将客户端证书与ELB一起使用,则必须以tcp模式配置ELB并终止应用程序服务器上的SSL连接,因为ELB不支持客户端证书验证。
另一种方法是将API网关配置为添加具有机密值的标头,然后在处理请求之前验证应用程序服务器上的值。这通常被认为不太安全,因为攻击者更容易获取您的秘密值。至少,您可能希望在API网关和应用程序服务器之间使用SSL,因此秘密不会以纯文本形式发送。