我有一个lambda连接到API网关;它使用sls部署,效果很好。但是,它的数据存储区是默认VPC中的Aurora,并设置为public。从安全角度来看,这不理想。
过去,我在私有子网的自己的VPC中设置Auroras,并在该VPC中使用ec2轻松访问它。但是,我所读过的有关获取lambda以便使用VPC RDS的所有材料都指出,lambda本身也应该驻留在VPC中。
由于冷启动问题,这使我感到担忧。所以,我的问题是:
“ no vpc” lambda是否有办法访问Aurora RDS,该方法
生活在自己的VPC中而没有将Lambda放入VPC本身?
一段时间以来,有传言说aws即将解决lambda VPC“冷启动”问题。我们知道何时会发生这种情况吗?一旦实施,现有的lambda会从中受益吗?
是否还有其他方法可以保护公共RDS来限制仅访问我的lambda(除了明显的用户/通过凭据)?
预先感谢
答案 0 :(得分:1)
1。我的“无vpc” lambda是否可以访问Aurora RDS, 住在自己的VPC中而不将Lambda放入VPC本身?
否,如果您的RDS实例不可公开访问,则必须将Lambda部署在VPC中。
2。一段时间以来,一直有人在谈论AWS将很快解决lambda VPC“冷启动”问题。我们知道何时会发生这种情况吗?一旦实施,现有的lambda会从中受益吗?
我认为尚未为此功能正式传达特定的时间表。现有的Lambda函数显然将从此更改中受益(毕竟,Lambda函数只是不断在容器上重新部署的代码)。有关新架构的信息:AWS Lambda in a VPC Will Soon be Much Faster
3。还有其他保护公共RDS的方法,以限制仅对我的Lambda的访问(除了明显的用户/通过凭据)?
您可以将IAM Database Authentication与Aurora一起使用。通过这种方法,可以使用IAM在外部管理身份验证。