我遇到了与 AWS lambda 相关的安全问题,但不确定解决此问题的正确方法是什么。
考虑一个 EC2 实例 A 访问另一个 EC2 实例 B 上的数据库。如果我想将实例 B 上的数据库的可访问性限制为仅实例 A,我将修改安全组并添加自定义 TCP 规则以仅允许访问实例 A 的公共 IP。因此,这样,AWS 将处理所有事情,并且无法从任何其他 IP 地址访问数据库服务器。
现在让我们用 lambda 函数替换实例 A。由于不再是实例,因此没有明确的 IP 地址。那么,如何限制对 lambda 函数的访问并阻止任何其他流量?
让 Lambda 作业确定其 IP,并动态更新实例 B 安全组,然后在完成后重置安全组。
在支持在 VPC 中运行 Lambda之前,这是唯一的选择。已在今年晚些时候宣布对此的支持。以下引用来自上面引用的链接。
许多 AWS 客户在 Amazon Virtual Private Cloud 中托管微服务,并希望能够从他们的 Lambda 函数中访问它们。也许他们运行带有查找数据的 MongoDB 集群,或者想使用 Amazon ElastiCache 作为 Lambda 函数的有状态存储,但不想将这些资源暴露给 Internet。
通过在目标 VPC 中设置一个或多个安全组,将它们配置为接受来自 Lambda 的入站流量,并将它们附加到目标 VPC 子网,您很快就能访问这种类型的资源。然后,您需要在创建 Lambda 函数时指定 VPC、子网和安全组(您也可以将它们添加到现有函数中)。您还需要授予您的函数权限(通过其 IAM 角色)以访问与 Elastic Networking 相关的几个 EC2 函数。
该功能将于今年晚些时候推出。当我们启动它时,我会有更多信息(和演练)。
我相信下面的链接将为您解释 lambda 权限模型。
http://docs.aws.amazon.com/lambda/latest/dg/intro-permission-model.html