对于你的需求——给无AWS账号的用户生成受限的一次性/短期有效链接访问Lambda API，**API Gateway的预签名URL（基于Signature Version 4）**是最简单、成本最低的选择，完全不需要Cognito或额外的DynamoDB维护（如果接受TTL而非严格一次性的话）。

为什么排除其他选项？ #

• AWS Cognito：太重了，你不需要用户注册、身份池这些复杂功能，只会增加配置成本和学习曲线，完全没必要。
• 自定义Lambda授权器+DynamoDB：虽然能实现一次性验证，但需要维护DynamoDB表、处理令牌的生成/验证/过期/清理，额外增加了代码和运维成本，对于你的需求来说属于过度设计。

具体实现步骤 #

1. 配置API Gateway和Lambda #

• 创建一个HTTP API（比REST API更便宜，性能也够用），关联你的Lambda函数作为集成目标。
• 给这个API的特定方法启用IAM授权（在API Gateway的权限设置里选择IAM）。
• 创建一个专用的IAM用户（或角色），只赋予调用该API方法的权限，权限策略示例：

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": "execute-api:Invoke",
              "Resource": "arn:aws:execute-api:<区域>:<账号ID>:<API ID>/<阶段>/<HTTP方法>/<路径>"
          }
      ]
  }
  

  这个权限要尽可能缩小范围，避免过度授权。

2. 用.NET SDK生成预签名URL #

你可以用AWS SDK for .NET中的AWS4Signer类来生成带签名的URL，设置过期时间（TTL），示例代码大概是这样的：

using Amazon.Runtime;
using Amazon.Runtime.Signing;
using System;
using System.Net.Http;

public string GeneratePresignedApiUrl(string apiUrl, string httpMethod, TimeSpan expiresIn)
{
    // 替换成你的IAM用户凭证（或者用角色的临时凭证，如果在Lambda里运行的话）
    var credentials = new BasicAWSCredentials("你的AccessKey", "你的SecretKey");
    
    var signer = new AWS4Signer();
    var request = new HttpRequestMessage(new HttpMethod(httpMethod), apiUrl);
    
    // 签名请求，设置过期时间
    var signedRequest = signer.Sign(request, credentials, "execute-api", "<你的AWS区域>");
    
    // 返回带签名参数的完整URL
    return signedRequest.RequestUri.ToString();
}

调用这个方法时，设置expiresIn为你想要的有效期（比如1小时，或者更短），生成的URL在过期前可以被任何人访问，但过期后就失效了。

3. （可选）实现严格一次性访问 #

如果你必须要求链接只能用一次，那可以在上面的基础上增加一个简单的验证层：

• 在你的Lambda函数里，每次被调用时，记录请求中的签名参数（比如X-Amz-Signature）到DynamoDB中（用签名作为主键）。
• 下次调用时先检查DynamoDB，如果该签名已存在，就拒绝请求。
• 同时给DynamoDB表设置TTL，自动清理过期的签名记录，避免存储膨胀。
  这个方案只增加了少量代码和极低的DynamoDB成本（因为存储量很小，请求量不大的话几乎免费）。

成本说明 #

• HTTP API的调用成本非常低（百万级调用才几美元）。
• Lambda的调用成本也是按需付费，小额请求几乎免费。
• 如果不用DynamoDB，完全没有额外存储成本；用的话，免费额度足够覆盖你的需求。

内容的提问来源于stack exchange，提问作者HelloWorld