Lambda 每次调用时都会创建 ENI：达到限制

Question

我的 Lambda 访问我的 VPC 上的资源，因此按照文档中的说明，我为 Lambda 赋予了创建网络接口的角色。我假设 ENI 已被重用，但看起来每次调用都在创建一个新的 ENI，从而导致引发错误

Lambda was not able to create an ENI in the VPC of the Lambda function because the limit for Network Interfaces has been reached.

我搜索了谷歌，但找不到解决此问题的最佳方法。除了定期手动删除这些 ENI 有没有更好的方法？

Answer 1

正如 Mark 所建议的，问题是我的 AWS Lambda 没有在 lambda 设置的角色（策略）中指定 DeleteNetworkInterface 操作。通过提供适当的策略，Lambda 现在会在完成时分离并删除 ENI。

        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:CreateNetworkInterface",
                "ec2:AttachNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterface",
                "ec2:DetachNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:ResetNetworkInterfaceAttribute",
                "autoscaling:CompleteLifecycleAction"
            ]
        }

Answer 2

来自 AWS 的官方线路（通过 their docs 和支持票证）是使用 AWS 托管策略 AWSLambdaVPCAccessExecutionRole。

摘自私人支持票：

您在 Lambda 函数中使用的角色有一个附加的策略“AWSLambdaVPCAccessExecutionRole”，这是针对启用了 VPC 的 Lambda 函数的 AWS 托管策略。此策略包含所有需要的权限，如果由于服务更新而需要新权限，将来可能会更新。

还值得注意的是，有时可能需要几个小时才能收获分离的 ENI。