0

我正在开发一个与 RDS 中的数据库一起使用的无服务器应用程序。出于安全原因,应用程序 (Lambda) 和数据库都位于 VPC 的私有子网中。我还想从应用程序访问 AWS 服务 - 例如,我想访问密钥管理器以获取数据库凭证,在 EventBridge 中放置规则并使用 STS 服务。我知道我可以使用 VPC 终端节点并在我的 VPC 中为每个感兴趣的服务部署接口终端节点。

我的问题如下 - 应用程序位于私有子网中的唯一原因是数据库访问。为什么我不应该创建另一个 lambda,它不是我的 VPC,并且可以轻松免费地访问这些服务,然后从我的主应用程序中调用它?有哪些安全风险?我错过了什么?

谢谢

4

1 回答 1

2

如果我理解正确,您会想要创建另一个在 VPC 外部运行并由 VPC 内部的 Lambda 调用的 Lambda。

你当然可以这样做,但这也需要有一个 NAT 网关才能访问外部 Lambda 或 Lambda 控制平面的 VPC 端点。此外,您将为每个单独的 Lambda 调用支付双倍费用,并且您还需要关注 Lambda 的运行时间。

可以轻松免费地访问这些服务

AWS 中没有什么是真正免费的。您必须为 VPC 终端节点或 NAT 网关使用的 ENI 付费。也适用于 Lambda 调用。

有哪些安全风险?

安全方面,您并没有真正错过任何东西。

于 2022-02-06T20:47:25.977 回答