Uruchamiam usługę na mojej instancji EC2 i chcę skonfigurować regułę przychodzącą, która zezwala tylko mojej funkcji lambda na dostęp do niej. Grupa bezpieczeństwa pozwala mi ograniczyć dostęp do konkretnego adresu IP, ale nie sądzę, że funkcje lambda mają przypisany konkretny adres IP. Czy istnieje sposób, aby zrobić to, co chcę?Reguła wejściowa dla grupy zabezpieczeń AWS. zezwalaj na funkcję lambda
Jeśli włączysz dostęp VPC do funkcji Lambda, zgodnie z this blog post, utworzysz grupę zabezpieczeń dla funkcji Lambda do użycia w VPC. Wszystko, co musisz zrobić w tym momencie, to przejść do grupy zabezpieczeń, której używa twoja instancja EC2, i przyznać dostęp do grupy bezpieczeństwa, której używa funkcja Lambda. To jest metoda, którą polecam.
Jeśli nie korzystasz z dostępu do VPC, wówczas Twoja instancja EC2 musi być publicznie dostępna i będziesz w zasadzie przechodzić przez Internet, aby uzyskać dostęp do instancji EC2 z funkcji Lambda. Jeśli tak jest, to nie ma dobrego sposobu na ograniczenie tego w grupie bezpieczeństwa. Możesz (z trudem) otworzyć go tylko na żądania o numerze originate within AWS, ale nadal pozostawia to otwarte dla wszystkich innych użytkowników AWS. Jeśli musisz przejść przez Internet, aby uzyskać dostęp do swojej instancji EC2 z Lambda, najlepiej byłoby wysłać jakiś token zabezpieczający przy każdym żądaniu Lambda i zignorować wszystkie żądania na serwerze EC2, które nie zawierają tego tokena zabezpieczającego.