从专用子网中的lambda访问AWS服务
我正在开发一个无服务器应用程序,该应用程序与RDS中的数据库一起工作。出于安全原因,应用程序(Lambda)和数据库都位于专有网络中的一个专用子网中。我还想从应用程序访问AWS服务——例如,我想访问secret manager以获取数据库凭据,在EventBridge中设置规则并使用STS服务。我知道我可以使用VPCendpoint,并在我的VPC中为每个感兴趣的服务部署接口endpoint。
我的问题如下——应用程序位于专用子网中的唯一原因是数据库访问。为什么我不应该创建另一个lambda,它不是我的专有网络,可以轻松地免费访问这些服务,并从我的主应用程序调用它?安全风险是什么?我错过了什么?
谢谢
共有1个答案
如果我理解正确,您可能希望创建另一个在VPC外部运行的Lambda,并由VPC内部的Lambda调用。
当然可以这样做,但这也需要有一个NAT网关来访问外部Lambda或Lambda控制平面的VPCendpoint。此外,您将为每个单独的Lambda调用支付双倍的费用,您还需要关注Lambda的运行时间。
您可以轻松免费地访问这些服务
AWS中没有什么是真正免费的。您必须为VPCendpoint或NAT网关使用的ENI付费。还有Lambda调用。
有哪些安全隐患?
安全方面,你没有错过任何东西。
-
我的VPC中有Public和Pvt子网。我在Pvt子网上有一些运行在EC2上的服务,需要通过外部/移动资源访问。我如何做到这一点-是VPCLink和NLB的方式来做到这一点,还是任何其他方式,创建一些访问点在公共子网(??)。Lambda似乎是答案(现在AWS中几乎所有的东西)--甚至不确定那种访问对于Pvt子网中的资源是如何工作的。 同样,同一个Pvt子网可以访问外部资源(在AWS之外)-我如何
-
我有EC2实例在私有子网中运行,想要访问API网关。 我做的步骤:- 在API网关中创建和部署阶段 从测试URL和邮递员测试-工作良好 创建了具有execute-api接口的VPCendpoint 更新了API-Gateway资源策略,如下所示并已保存
-
我对我的 ASG 组的 ELB 有疑问。我的 ASG 组位于私有子网中,ELB 位于公有子网中,两者都位于同一可用区中,但是当我尝试通过其 DNS 名称调用 ELB 时,它没有响应。我已正确配置侦听器,运行状况检查正在运行,实例正常运行,我检查了此问题中的所有内容:VPC 中私有子网中适用于 EC2 实例的 Amazon ELB,并且不知道这里可能缺少什么。 有人知道我还应该检查什么吗?在同一个公
-
我试图按照本教程设置一个lambda函数来关闭/启动实例,并在ec2实例中添加一个特殊的标记。 管理员用户分配给我的角色的策略让我可以访问所有lambda函数,例如 在选择“基本执行角色”时设置
-
我在一个私有子网中有一个lambda函数,我想通过创建一个API网关来调用这个lambda函数,并且这个API只能由公共子网中的特定EC2实例调用(私有子网和公共子网在同一个VPC中),而不能由其他任何人调用。 有人能指导/建议我如何处理这个问题吗。
-
我已经创建了一个内部私有api,希望从ec2实例访问它。为此,我创建了一个endpoint,它启用了私有dns。我已经应用了允许任何人访问的资源策略(目前用于测试)。 当我从ec2实例中点击我的api时,它给出了以下给定的错误 启用私人DNS: true 专用dns名称:*。执行api。区域亚马逊。通用域名格式 资源政策: 是的,我在更改资源策略后部署了api。 VPCendpoint的安全组(出