Estoy usando la API de Amazon Gateway como proxy para el servicio web subyacente que se ejecuta en Amazon VPC. Este servicio web ejecuta código para 400 inquilinos. El punto principal es pasar de forma segura el identificador de inquilino a este servicio web desde la persona que llama. La persona que llama es un sistema externo que utilizará este servicio web para importar datos para un inquilino específico.

Para alcanzar este objetivo, estoy usando clientes de aplicaciones de Amazon Cognito (uno por cada inquilino). Cada cliente de la aplicación tendrá su propio ámbito como (inquilino1, inquilino2, inquilino3). 400 clientes de aplicaciones y 400 ámbitos al final.

Al mismo tiempo, en la API de Amazon Gateway, configuré rutas para cada arrendatario (como api/tenant1/import, api/tenant2/import, api/tenat3/import) y configuré el autorizador con la regla adecuada (solo verifique el alcance: arrendatario1 o arrendatario2 o arrendatario3 o etc). Ahora el servicio web tiene solo 5 puntos finales, eso significa que tengo 2000 rutas en la API de Gateway (eso está alcanzando las limitaciones de AWS).

Cuando la solicitud llegue a la API de Amazon Gateway, el autorizador verificará este alcance (en la ruta concreta) y pasará la solicitud al servicio web subyacente o simplemente devolverá un error no autorizado.

¿Hay alguna forma de no usar tantas rutas, pero de alguna manera autorizar la solicitud (verificar el alcance) y luego pasar el identificador de inquilino al servicio web?