我有一个需要与几个AWS API交谈的lambda。 它访问EC2和Route53 API以获取实例的IP地址并更新Route53记录集。
lambda在ap-southeast-2的私人VPC中运行。为了使API调用起作用,我必须将以下出口规则添加到Lambda的安全组中:
resource "aws_security_group_rule" "https-egress-lambda-to-all" {
type = "egress"
from_port = 443
to_port = 443
protocol = "tcp"
security_group_id = "${aws_security_group.lambda-sg.id}"
cidr_blocks = ["0.0.0.0/0"]
}
此规则显示"allow this lambda to talk to anything on the internet via port 443"。我想将该陈述缩小到"allow this lambda to talk to the AWS API servers only"。
我认为VPC端点可能就是这样做的方式,但显然只适用于S3。
有没有办法锁定安全组的出口规则以仅允许访问AWS API 服务器?
答案 0 :(得分:0)
AWS发布其用于服务的IP范围。您可以设置规则以仅允许这些IP地址范围。由于它们经常变化,您可能希望自动化。详细信息如下:https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html