Вообще, на чём угодно можно писать лямбды.
Можно даже свой язык написать и на нём писать.

https://docs.aws.amazon.com/lambda/latest/dg/runtimes-custom.html

Да. Подход такой же. Неважно что внутреннее перемещение. Кроме конечно скрининга.

Коллеги, подскажите плиз, это нормальный флоу и вообще возможно так реализовать:
1) Юзер с фронта стучится в Cognito - получает токен
2) Идет с этим токеном в API Gateway
3) В API Gateway отрабатывает лямбда, которая верифицирует токен, назначает роль юзеру и просаживает ниже в нужный микросервис.
Если пользователь пошел в gateway как аноним, и от микросервиса вернулась 401, то редиректить его на форму логина

дали кейс, избавиться от keycloak и zuul прокси в сторону средств aws

в целом все норм
там у апи гейтвея с когнито есть стыковка через Authorizer
не нужно самому руками верифицировать + через IAM можно навесить ограничения и завязать их на cognito group

тула? :)

Привет. Вот вам любопытная туда
https://diagrams.mingrammer.com/

Я так понимаю что для доменов расположенных на ec2 можно использовать сертификаты от aws ?