仅从Lambda访问AWS EC2

时间:2018-12-31 04:43:25

标签: amazon-web-services security amazon-ec2 aws-lambda

我有一个在公共子网中的EC2实例上运行的数据库。

我想保护EC2实例,以便只能从lambda对其进行访问。

我不想通过ENI附加lambda,因为它不是可扩展的解决方案,因为必须创建ENI才能允许lambda访问VPC。

我想到要使用NACL,并且只允许来自AWS lambda服务的ip范围的入站流量,但是我不知道AWS可以多久更新一次其IP范围。

关于安全性问题的任何建议都将受到欢迎

1 个答案:

答案 0 :(得分:1)

将AWS Lambda IP范围列入白名单将不起作用,因为当Lambda不在VPC之外时,我们无法控制IP范围。

如果将EC2保留在公共子网中,除非将Lambda函数放在VPC内,否则几乎没有任何方法可以将其限制为仅对Lambda的请求。

如果您可以将AWS RDS用于数据库,则现在可以通过IAM限制访问(AWS最近对此进行了介绍)。