我们有一个EC2实例,出于安全考虑,该实例无法访问Internet。但与此同时,在该服务器上运行的代码需要调用一些Lambda函数。在我看来,这两个要求是矛盾的,因为没有Internet访问,代码不能调用Lambda函数。
在不牺牲项目安全方面的情况下,有没有人对我的选择有任何建议?
答案 0 :(得分:4)
您无法通过互联网访问来访问AWS API。 S3和DynamoDB有两个例外,您可以在其中创建VPC端点并将其完全保存在专用网络上。有些服务也可以通过PrivateLink公开,但Lambda还不是其中之一。
您可以在此处详细了解相关内容:https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html
根据您的安全要求,您可以使用NAT网关(https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-nat-gateway.html)或仅出口Internet网关(https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/egress-only-internet-gateway.html) 那些将提供从实例到互联网的访问,但没有相反的情况。在许多情况下,这将提供足够的安全性。
否则,您将不得不等待PrivateLink支持Lambda。您可以在此处详细了解如何使用PrivateLink:https://aws.amazon.com/blogs/aws/new-aws-privatelink-endpoints-kinesis-ec2-systems-manager-and-elb-apis-in-your-vpc/