Безопасный запрос AWS RDS от Lambda - PullRequest
Новая
       16

Безопасный запрос AWS RDS от Lambda

0 голосов
/ 28 февраля 2019

Я пытаюсь подключить свою лямбду к RDS просто как учебное упражнение.В настоящее время все ресурсы создаются с помощью CloudFormation, и я хотел бы продолжить делать это, если это возможно.

Моя проблема связана со следующим оператором из https://docs.aws.amazon.com/lambda/latest/dg/vpc-rds.html, в котором подробно описано, как подключиться. 

A second file contains connection information for the function.

    Example rds_config.py

    #config file containing credentials for RDS MySQL instance
    db_username = "username"
    db_password = "password"
    db_name = "ExampleDB"

Из-за заявления AWS создается впечатление, что я должен жестко закодировать эти значения в файл, который не выглядит безопасным.Я мог бы попытаться использовать переменные окружения, но я думаю, что та же самая проблема возникнет.

Если у кого-нибудь есть советы по безопасному подключению лямбды к rds, я был бы очень признателен !!!

1 Ответ

0 голосов
/ 28 февраля 2019

Если вы не хотите использовать переменные среды по какой-либо причине, вы можете запросить у вашей функции Lambda хранилище параметров AWS Systems Manager .

Так что, скажем, однажды вашсработала функция, вы можете просто запросить SSM на получить требуемые параметры и затем передать его в ваше соединение RDS.

Просто помните, что если вашему Lambda также нужен доступ в Интернет (и в этомВ этом случае вам потребуется доступ к SSM), вам необходимо подключить к нему две подсети: частную и общедоступную.Частное лицо будет направлять трафик на RDS, а общественное - на другие сервисы AWS / или в Интернет.

Настройка переменных среды будет проще, если вы не сможете оторваться от земли.

РЕДАКТИРОВАТЬ : отметьте этот ответ, в котором я прохожу ОП через создание VPC с общедоступной и частной подсетями, если вам требуется быстрый старт.

РЕДАКТИРОВАТЬ2 : хорошие новости.AWS выпустила конечные точки VPC для SSM некоторое время назад.Так что вашей лямбде больше не нужно будет выходить в Интернет, вы можете просто попасть в конечную точку VPC.Вы можете увидеть это в официальных документах

...