我有一个在公共子网中的EC2实例上运行的数据库。
我想保护EC2实例,以便只能从lambda对其进行访问。
我不想通过ENI附加lambda,因为它不是可扩展的解决方案,因为必须创建ENI才能允许lambda访问VPC。
我想到要使用NACL,并且只允许来自AWS lambda服务的ip范围的入站流量,但是我不知道AWS可以多久更新一次其IP范围。
关于安全性问题的任何建议都将受到欢迎
答案 0 :(得分:1)
将AWS Lambda IP范围列入白名单将不起作用,因为当Lambda不在VPC之外时,我们无法控制IP范围。
如果将EC2保留在公共子网中,除非将Lambda函数放在VPC内,否则几乎没有任何方法可以将其限制为仅对Lambda的请求。
如果您可以将AWS RDS用于数据库,则现在可以通过IAM限制访问(AWS最近对此进行了介绍)。