如何通过nat网关限制VPC中的Internet访问?

时间:2020-10-08 08:57:29

标签: amazon-web-services amazon-vpc

我已经设置了一个具有两个子网publicprivate的VPC。 VPC中有许多lambda,其中一些需要Internet访问。因此,我在VPC上添加了NAT网关。但是,它使每个lambda都能够访问Internet。如何通过NAT网关控制VPC中哪些Lambda可以访问互联网?

3 个答案:

答案 0 :(得分:1)

我假设Lambda需要访问部署它们的子网中的某些资源。

如果是这种情况,那么我建议您创建具有所需设置的安全组,然后将该安全组分配给要限制其访问的所有lambda。

如果不是这种情况,则只需删除Lambda级别的VPC关联即可。

答案 1 :(得分:0)

NAT网关没有安全组(SG)或访问策略。因此,您无法使用NAT控制对Internet的访问。但是您可以考虑一些替代措施:

  • 创建一个没有路由的私有子网,并将您的lambda函数放置在此处。如果没有到NAT的路由,则该子网中的任何内容都将无法与Internet通信。
  • 使用自定义的传出规则创建特殊的 SG ,例如仅允许传出流量到您的VPC的CIDR或仅允许它们与之通信的SG。
  • 仅为lambda函数创建专用私有VPC ,并将其与您的主VPC对等。 VPC对等是不透明的,这意味着您的功能将无法使用来自主VPC的NAT。

答案 2 :(得分:0)

简单答案::连接到公共子网的任何AWS Lambda函数将可以访问Internet。

这是因为公共子网的路由表未通过NAT网关发送流量,并且Lambda函数本身无法使用Internet网关访问Internet。

相关问题
最新问题