我遇到了与AWS lambda相关的安全性问题,不确定是否可以解决此问题的正确方法。
考虑一个EC2实例A在另一个EC2实例B上访问数据库。如果我想将实例B上的数据库的访问权限限制为仅限实例A,则可以修改安全组并添加一个自定义TCP规则以仅允许访问该实例B。实例A的公共IP。因此,AWS将处理所有事务,并且无法从任何其他IP地址访问数据库服务器。
现在,让我们用lambda函数替换实例A。由于它不再是实例,因此没有确定的IP地址。因此,如何限制对lambda函数的访问并阻止其他流量?
让Lambda作业确定其IP,并动态更新实例B安全组,然后在完成后重置安全组。
在VPC内支持运行Lambda之前,这是唯一的选择。对此的支持已在今年晚些时候宣布。以下引用来自上面的引用链接。
许多AWS客户在Amazon Virtual Private Cloud中托管微服务,并希望能够从其Lambda功能访问它们。也许他们使用查询数据运行MongoDB集群,或者想将Amazon ElastiCache用作Lambda函数的有状态存储,但不想将这些资源公开给Internet。
通过在目标VPC内设置一个或多个安全组,将它们配置为接受来自Lambda的入站流量,并将它们附加到目标VPC子网,您很快就能访问此类型的资源。然后,当您创建Lambda函数时,您将需要指定VPC,子网和安全组(也可以将它们添加到现有函数中)。您还需要(通过其IAM角色)授予您的功能权限,以访问与Elastic Networking相关的几个EC2功能。
此功能将于今年晚些时候可用。启动它时,我将获得更多信息(以及演练)。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句