Лямбда в той же группе безопасности, что и база данных RDS: есть ли проблема безопасности?

Question

Я хочу разрешить лямбда-доступ к базе данных RDS.

Что я сделал:

• поместить лямбду в VPC базы данных, то есть в ту же группу безопасности и подсети, что и база данных
• добавить правило входящих в группу безопасности: разрешить соединения от себя

Это позволяет избежать создания отдельной группы безопасности для лямбды и позволить группе лямбды получить доступ к группе MySQL.

Это работает, но это нормально? Зачем мне создавать отдельную группу для лямбды?

Answer 1

Да, это сработало бы, но это не имеет логического смысла, если вы отчаянно не пытаетесь уменьшить количество используемых групп безопасности.

Предпочтительной конфигурацией будет:

• Группа безопасности в функции Lambda (Lambda-SG)
• Группа безопасности в экземпляре RDS (RDS-SG), разрешающая входящее соединение с Lambda-SG

Это легче понять и избежать ситуаций, когда вы хотите предоставить доступ к RDS, но не к Lambda.