Возможность занести в белый список функцию AWS Lambda с помощью WAF или запустить Lambda в VPC

Question

Я создаю страницу состояния с помощью LambStatus https://lambstatus.github.io/ и хотел бы, чтобы статус компонентов обновлялся автоматически с помощью аварийных сигналов cloudwatch. Я должен ограничить трафик на страницу статуса. В настоящее время у меня есть только белый список трафика, который исходит от VPN или от наших IP-адресов VPC. В идеальном мире тревога Cloudwatch запускает SNS ----> Лямбда-функция ---> скручивает конечную точку API для обновления компонента.

Мне нужно либо поместить лямбду в VPC так, чтобы исправление HTTPS происходило из набора IP-адресов, либо найти какой-либо другой способ внесения белого списка в VPC.

Лямбда-функции могут иметь доступ к ресурсам VPC, но все еще существуют в VPC по умолчанию. Можно ли мне управлять IP-адресами лямбда-функции или иметь какой-либо способ добавить в белый список лямбда-запрос?

Answer 1

Поскольку Lambda использует IP-адрес из диапазона EC2, если вы планируете использовать WAF, вам нужно добавить явный заголовок в CURL и разрешить запрос в WAF, только если заголовок присутствует.

Поскольку вы упомянули о WAF, я предполагаю, что конечная точка API является общедоступной конечной точкой и доступна через общедоступный IP-адрес.

В этом случае хорошим вариантом является использование Lambda в VPC.Лямбда для связи с публичным IP в среде VPC, необходимо запустить частную подсеть, вы можете выбрать подсеть, которая имеет маршрут по умолчанию к шлюзу NAT, шлюзу NAT требуется эластичный IP-адрес, поэтому весь трафик с Lambda будет идтис помощью шлюза NAT, и вы можете внести в белый список IP-адрес шлюза NAT.Я не рекомендовал бы использовать экземпляр NAT, потому что я не знаю тип экземпляра и количество запросов.