我之前也踩过Amplify这个坑，太懂这种明明严格按Next.js规范指定了runtime = 'nodejs'，结果被平台强制覆盖成minimal edge runtime、敏感环境变量拿不到的抓狂感！结合自己的实战踩坑经验和社区里验证可行的方案，给你整理几个能解决问题的方向：

• 强制Amplify尊重你的Node.js Runtime声明（最直接的修复）
  Amplify针对Next.js App Router有个隐藏的环境变量配置，能强制它不自动覆盖你指定的runtime。你只需要在项目根目录的amplify.yml构建配置文件里，给build阶段加上这个变量：

  frontend:
    phases:
      build:
        commands:
          - export AMPLIFY_NEXTJS_FORCE_NODEJS_RUNTIME=1
          - npm run build
  

  设置后，Amplify就会严格遵循你在API路由、回调、hooks里的export const runtime = 'nodejs'声明，不再强制切换到minimal edge runtime。这样你的这些路由就能正常访问服务器端的环境变量，完全不用把敏感密钥改成NEXT_PUBLIC_开头暴露给前端。

• Edge Runtime下安全获取敏感信息的折中方案
  如果你有部分路由确实需要保留Edge Runtime特性（比如低延迟），又要访问敏感信息，可以结合AWS Secrets Manager来实现：

  1. 先给Amplify项目的服务角色在IAM控制台添加secretsmanager:GetSecretValue权限，指定你要访问的Secret ARN；
  2. 在你的Edge路由里用AWS SDK v3直接拉取Secret，示例代码：

  import { SecretsManagerClient, GetSecretValueCommand } from "@aws-sdk/client-secrets-manager";
  
  export const runtime = 'edge';
  
  export async function POST(request: Request) {
    const client = new SecretsManagerClient({ region: '你的AWS区域' });
    // 这里的SECRET_ID用Amplify的安全环境变量配置，不用NEXT_PUBLIC
    const command = new GetSecretValueCommand({ SecretId: process.env.SECRET_STORE_ID });
    const response = await client.send(command);
    const secret = JSON.parse(response.SecretString || '{}');
  
    // 用获取到的密钥处理请求逻辑
    return new Response(JSON.stringify({ status: 'success' }), { status: 200 });
  }
  

  Amplify的Edge Runtime是支持AWS SDK v3的，只要权限配置正确，就能安全拿到敏感信息，不用暴露任何密钥到前端。

• 拆分Webhook/回调路由到Amplify Serverless Function
  对于认证、支付这类核心的Webhook或回调路由，要是上面的方案都不放心，可以直接把它们拆成独立的Amplify Serverless Function：

  1. 在Amplify控制台创建一个Node.js runtime的Function，在里面写Webhook的处理逻辑，这里的环境变量可以直接从Amplify的安全配置里读取，也能直接调用Secrets Manager；
  2. 给这个Function配置一个API Gateway端点（比如/api/webhook/stripe）；
  3. 你的Next.js项目前端或外部服务直接调用这个端点就行，完全避开Amplify对Next.js路由的Runtime限制，稳定性拉满。

我当时是先用第一个方案解决了90%的API问题，把支付回调这类核心路由拆成了Amplify Function，至今运行都很稳定。你可以先试试第一个环境变量的方案，最省事，要是还有个别路由有问题，再结合后面的方法调整～