从私有子网中的 lambda 访问 AWS 服务

【问题标题】:Accessing AWS services from a lambda in a private subnet从私有子网中的 lambda 访问 AWS 服务
【发布时间】:2022-02-07 04:47:25
【问题描述】:

我正在开发一个与 RDS 中的数据库配合使用的无服务器应用程序。出于安全原因,应用程序 (Lambda) 和数据库都位于 VPC 的私有子网中。 我还想从应用程序访问 AWS 服务 - 例如,我想访问密钥管理器以获取数据库凭证,在 EventBridge 中放置规则并使用 STS 服务。 我知道我可以使用 VPC 端点并在我的 VPC 中为每个感兴趣的服务部署接口端点。

我的问题如下 - 应用程序位于私有子网中的唯一原因是数据库访问。为什么我不应该创建另一个 lambda,它不是我的 VPC,并且可以轻松免费地访问这些服务,然后从我的主应用程序中调用它? 有哪些安全风险?我错过了什么?

谢谢

【问题讨论】:

  • “为什么我不应该创建另一个 lambda,它不是我的 VPC,并且可以轻松免费地访问这些服务,然后从我的主应用程序中调用它?”这是一个完全可以接受的架构。你没有错过任何东西。

标签: amazon-web-services aws-lambda private-subnet vpc-endpoint


【解决方案1】:

如果我理解正确,您可能希望创建另一个在 VPC 外部运行并由 VPC 内部的 Lambda 调用的 Lambda。

你当然可以这样做,但这也需要有一个 NAT 网关才能访问外部 Lambda 或 Lambda 控制平面的 VPC 端点。此外,您将为每个单独的 Lambda 调用支付双倍费用,并且您还需要关注 Lambda 的运行时间。

可以轻松免费访问这些服务

AWS 中没有什么是真正免费的。您必须为 VPC 终端节点或 NAT 网关使用的 ENI 付费。也适用于 Lambda 调用。

有哪些安全风险?

在安全方面,您并没有真正错过任何东西。

【讨论】:

  • 感谢您的回答。我想这会比为许多 VPC 端点按小时付费要便宜。
猜你喜欢
  • 2015-01-15
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2019-04-29
  • 2021-01-21
  • 2021-06-13
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode