Доступ к AWS EC2 только из Lambda

Question

У меня есть база данных, запущенная на экземпляре EC2 в общедоступной подсети.

Я хочу защитить экземпляр EC2, чтобы к нему можно было получить доступ только из лямбд.

Я неЯ хочу подключить лямбду через ENI, поскольку это не масштабируемое решение, поскольку ENI необходимо создать, чтобы разрешить лямбда-доступ к VPC.

Я имел в виду использовать NACL и толькоразрешить входящий трафик из диапазона ip лямбда-сервиса AWS, но я не знаю, как часто AWS может обновлять свои диапазоны IP-адресов.

Пожалуйста, любые предложения по вопросам безопасности будут приветствоваться

Answer 1

Белый список диапазона AWS Lambda не будет работать, поскольку у нас нет никакого контроля над диапазоном IP, когда Lambda находится за пределами VPC.

Если вы держите EC2 в общедоступной подсети, вряд лилюбой доступный способ ограничить запросы только для Lambda, если вы не поместите функцию Lambda в VPC.

Если вы можете использовать AWS RDS для базы данных, теперь можно ограничить доступ через IAM (AWS недавно представил это).