Должны ли мы держать AWS Lambda внутри VPC, если требуется белый листинг?

Question

Мы реализуем несколько лямбда-функций, которые должны выполнять HTTP-вызов третьей стороне.Третья сторона имеет политику белого списка, и мы должны предоставить диапазон IP-адресов, чтобы Lambda могла получить доступ к сторонней системе.Ранее мы думали о том, чтобы оставить его вне VPC, но при этом нам, возможно, придется предоставить диапазон IP-адресов AWS для белого списка.Предоставление диапазона IP-адресов AWS для белого списка может иметь две проблемы:

1. Это большой диапазон, и третьи стороны не позволят внести этот список в белый список.

2. Я слышал, что этот диапазон постоянно меняется.Мы можем попросить третью сторону изменить это снова и снова.

Наконец, мы решили оставить лямбду внутри VPC.Но я хотел бы быть уверен, что этот белый список нуждается в веской причине, чтобы держать лямбду внутри VPC?Или есть другой способ решения проблемы белого списка без сохранения лямбды внутри VPC (так как есть дополнительные накладные расходы , сохраняющие лямбды внутри VPC).

Answer 1

Lambda с VPC даст вам преимущество в том, что вам не нужно предоставлять большой диапазон IP-адресов третьему лицу, поскольку вы можете использовать шлюз NAT, а шлюз NAT использует EIP (Elastic IP), которые являются фиксированными, однакоВ Lambda в VPC есть общая проблема, поскольку она создает ENI в вашем VPC, и каждому ENI требуется IP-адрес, это может быть проблемой, если у вас меньше бесклассовый диапазон CIDR для подсети, и вам не хватит IP-адресов и выполнения Lambda.выходит из строя.Вам нужно дать разрешение ресурсам ENI / VPC на роль Lambda, чтобы она могла удалять ENI.

Хорошим решением было бы использование ограничения на основе HTTP-заголовка, если это поддерживает третья часть.Вы можете добавить определенный заголовок и его значение, а пункт назначения может разрешить его только при наличии заголовка. Таким образом, вам не нужен белый список на основе IP, и вы можете запускать лямбда без VPC.Это как решение WAF.