Насколько я понимаю, управление доступом IP-адреса к API-шлюзу AWS осуществляется через Политика ресурсов.
Это не кажется идеальным вариантом, поскольку требует развертывания API каждый раз, когда требуется новый доступ (проблемы с контролем изменений). Можно ли отделить этот доступ от элемента API и добавить в политику списка доступа VPC?
Итак, есть ли способ контролировать доступ к шлюзу API через списки доступа к сети в VPC?
Чтобы ответить на ваш прямой вопрос, нет, вы не можете контролировать доступ к API-шлюзу через NACL
Есть пять способов управления доступом к API Gateway. Если это частный API, вы можете создать политику конечных точек [4]. Если он общедоступный, вы можете использовать 2,5 или 6 ниже или настроить AWS WAF и определите там IP-адреса.
https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-to-api.html