Доступ к AWS EC2 только из Lambda
У меня есть база данных, запущенная на экземпляре EC2 в общедоступной подсети.
Я хотел бы защитить экземпляр EC2, чтобы к нему можно было получить доступ только из лямбда-выражений.
Я не хочу присоединять лямбда-выражение через ENI, поскольку это не масштабируемое решение из-за того, что необходимо создать ENI, чтобы разрешить лямбда-доступ к VPC.
Я имел в виду использовать NACL и разрешать входящий трафик только из диапазона IP-адресов лямбда-сервиса AWS, но я не знаю, как часто AWS может обновлять свои диапазоны IP-адресов.
Любые предложения по вопросам безопасности будут приветствоваться.
для каких целей вы хотите использовать ваш ec2?
Я бы не рекомендовал запускать базу данных в общедоступной подсети - мы храним все в частной подсети без доступа в Интернет в целях безопасности.
Использование всего диапазона IP-адресов AWS не будет очень безопасным, поскольку любой другой, использующий AWS, сможет получить доступ к вашему экземпляру EC2.
Ответы 1
Внесение диапазона IP-адресов AWS Lambda в белый список не сработает, поскольку мы не можем контролировать диапазон IP-адресов, когда Lambda находится за пределами VPC.
Если вы храните EC2 в общедоступной подсети, вряд ли существует какой-либо подход, позволяющий ограничить запросы только для Lambda, если вы не поместите функцию Lambda в VPC.
Если вы можете использовать AWS RDS для базы данных, теперь можно ограничить доступ через IAM (AWS недавно представила это).
как можно получить ip на aws lambda?