Как я могу использовать группу безопасности vp c для ограничения входящего доступа к моей Lambda? - PullRequest
Новая
       102

Как я могу использовать группу безопасности vp c для ограничения входящего доступа к моей Lambda?

0 голосов
/ 10 июля 2020

Я просто сделал это с бессерверной конечной точкой для проверки некоторого токена. Допустим, путь - "/ checktoken". И хочу получить к нему доступ только с моим IP-адресом, поэтому подключите мою Lambda к VP C (2 частные подсети и группа безопасности).

Но проблема в том, что я даже создал правила группы безопасности для входящего / исходящего трафика как https с моим IP-адресом, я могу запросить конечную точку с другим IP-адресом.

Я использовал AWS = CloudFront + Route53 для DNS, Lambda + Api Gateway для конечной точки.

I сделал белый список IP с политикой ресурсов в шлюзе Api, который работает, но это не то решение, которое я хочу.

Требуемое решение - группа безопасности vp c должна разрешать запросы только с IP из белого списка в своем правиле.

Ответы [ 2 ]

2 голосов
/ 10 июля 2020

вот почему подключите мою Lambda к VP C (2 частные подсети и группа безопасности)

Размещение лямбда-функции в VP C и присвоение ей группы безопасности не влияет на то, может ли шлюз API вызывать его или нет.

Шлюз API не использует elasti c сетевой интерфейс (ENI) лямбда-выражения в VP C, чтобы вызвать его. Это делается с помощью конечной точки службы Lambda.

Вы можете использовать WAF для управления доступом к вашему раздаче CloudFront:

1 голос
/ 10 июля 2020

Добавление лямбды к VP C не будет направлять трафик c на Lambda через ваш VP C.

Фактически, лямбда вызывается через Lambda Конечная точка службы API, поэтому правила оценки входящего трафика на нее не влияют. Целью Lambda, находящегося в VP C, является доступ к ресурсам VP C.

Техническая реализация заключается в том, что в VP C создается ENI, который подключается к Lambda-функции в общий AWS VP C. Lambda может выполнять маршрутизацию из своего общего VP C для подключения к ресурсам.

Когда вы настраиваете функцию Lambda для подключения к вашему собственному VP C, он создает эластичность c сетевой интерфейс в вашем VP C, а затем выполняет перекрестное прикрепление. Эти сетевые интерфейсы обеспечивают сетевой доступ из ваших лямбда-функций к вашим частным ресурсам. Эти функции Lambda продолжают работать внутри VP C службы Lambda и теперь могут получать доступ к ресурсам по сети только через VP C.

Вам нужно будет добавить эти белые списки IP в любой уровень CloudFront с помощью AWS WAF (с использованием IPSet ) или через API-шлюз в качестве WAF или политики (как вы упомянули выше).

...