У нас есть лямбда-функция на aws, которая предоставляется через шлюз API. На этом api у нас есть политика ресурсов для ограничения трафика c, поэтому только IP-адреса нашей компании могут получить доступ к конечной точке. Для этого мы используем стандартный шаблон черного списка диапазона IP-адресов, предоставленный AWS на странице политики ресурсов шлюза API, и модифицируем его, чтобы использовать NotIpAddress вместо IpAddress - например,
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "execute-api:Invoke",
"Resource": "execute-api:/stage/*/getInfo",
"Condition" : {
"NotIpAddress": {
"aws:SourceIp": [ "192.188.1.1", "192.168.1.2" ]
}
}
},
{
"Effect": "Allow",
"Principal": "*",
"Action": "execute-api:Invoke",
"Resource": "execute-api:/stage/*/getInfo"
}
]
}
Теперь у нас есть требование для разработки другой лямбда-выражения, которая выполняет HTTP-вызов этого шлюза API для сбора некоторой информации перед выполнением дополнительных logi c. Мы хотим использовать эту существующую лямбду, так как она выполняет несколько сложных logi c. Однако, когда мы пытаемся выполнить http get в новой лямбде на шлюз API существующей лямбды, чтобы получить требуемую информацию, это отклоняется в соответствии с правилом запрета в политике ресурсов
Возможно ли иметь ограничение IP-адреса и разрешать вызовы со всех лямбда-выражений в нашей учетной записи AWS?