Я пытаюсь сбалансировать удобство / стоимость по сравнению с безопасностью при настройке RDS и лямбды. Моя конечная цель - сделать архитектуру максимально простой и дешевой, сохраняя при этом ее безопасность.
У меня есть пара базовых c требований, которые вызывают головную боль при попытке сбалансировать мои варианты без значительного увеличения затрат и затрат. сложность:
- (некоторые) Lambdas должен иметь доступ к целым rnet
- Я хочу (иногда) иметь прямой доступ к базе данных
Я мог бы go маршрут "лучших практик" с хостом бастиона в общедоступной c su bnet, частными лямбдами, лямбдами с доступом inte rnet и RDS - в отдельных частных подсетях и группах безопасности и с использованием NAT Шлюз для лямбды для общения. Это увеличивает стоимость и стоимость движущихся частей благодаря шлюзу NAT и бастионному хосту.
В качестве «снижения» стоимости и сложности, который (надеюсь) больше, чем потеря безопасности, я рассматриваю следующее:
- Поместите все лямбды в личное су bnet. Для лямбд, которым требуется доступ к inte rnet, они могут напрямую вызывать отдельную лямбду, которая находится за пределами VP C, для доступа к publi c inte rnet. Могу ли я сделать что-то простое, чтобы не платить в 2 раза больше времени простоя во время ожидания ответа здесь?
- Чтобы решить проблему с бастионным хостом, я экспериментировал с размещением RDS в общедоступном c su bnet и настройкой его. Общедоступным, но все же разрешающим вход только из частной группы защиты лямбды. Затем я могу добавить свой IP в группу безопасности и ограничить внешний вход только своим IP. Могу ли я доверять только группам безопасности, чтобы быть достаточно безопасными, при условии, что я разрешу свой указанный c IP только тогда, когда он мне действительно нужен? Или вам действительно нужно использовать частные подсети, чтобы иметь надежду на безопасность?
Я действительно нигде не видел, чтобы это было предложено, вот почему я спрашиваю здесь - что я упускаю, что делает это ужасной идеей?