API Gateway提供了许多不同的身份验证和授权选项。下面是一个示例命令，用于将API Gateway仅限由CloudFront Origin请求的访问：

1. 首先，创建一个名为CFOriginRequest的AWS Lambda函数，以返回API Gateway Endpoint请求的授权策略。

import json

def build_policy(principal_id, effect, resource): auth_response = {} auth_response['principalId'] = principal_id if effect and resource: policy_document = {} policy_document['Version'] = '2012-10-17' statement = {} statement['Action'] = 'execute-api:Invoke' statement['Effect'] = effect statement['Resource'] = resource policy_document['Statement'] = [statement] auth_response['policyDocument'] = policy_document return auth_response

def handler(event, context): if 'headers' in event and 'cloudfront-forwarded-proto' in event['headers'] and 'cloudfront-forwarded-port' in event['headers']: print("CloudFront Origin request, allow access") return build_policy('user', 'Allow', event['methodArn']) else: print("Direct API Gateway request, deny access") return build_policy('user', 'Deny', event['methodArn'])

2. 配置API Gateway的身份验证。

为API Gateway创建一个新的Lambda授权函数，该函数将上面的CFOriginRequest Lambda函数与API网关服务集成。随后，将API Gateway为“API Gateway资源”配置所需的授权方法设置为上方所定义的Lambda授权函数名。

3. 配置您的CloudFront分发以跨AWS账户访问API Gateway。

为了允许CloudFront分发访问API Gateway，您需要添加允许符合指定域名要求的特定HTTP头的CORS（Cross-Origin Resource Sharing）规则。

在您的CloudFront配置中，找到“Behavior”选项卡，然后选择对应的API Gateway行并单击"Edit"。

在Highlighted Behavior Region中打开"CORS Rules"选项卡，然后按照下面审查好的模板输入跨域规则：

[ { "AllowedHeaders": [ "Authorization", "Content-Type", "X-Amz-Date", "X-Amz-Security-Token", "X-Forwarded-Proto" ], "AllowedMethods": [ "DELETE", "GET", "HEAD", "OPTIONS",