muz*_*ako 1 amazon-web-services amazon-vpc aws-lambda
我只是用无服务器端点来检查一些令牌。假设路径是“/checktoken”。并且只想使用我的 Ip 地址访问它,这就是为什么将我的 Lambda 连接到 VPC(2 个私有子网和安全组)。
但问题是,即使我使用我的 IP 地址将安全组入/出站规则设置为 https,我也可以向具有不同 IP 地址的端点发出请求。
我使用 AWS = CloudFront + Route53 作为 DNS,使用 Lambda + Api Gateway 作为端点。
我在 Api 网关中使用资源策略创建了一个白名单 IP,该 IP 有效,但这不是我想要的解决方案。
所需的解决方案是 vpc 的安全组应仅允许来自其规则中白名单 IP 的请求。
Chr*_*ams 10
将 Lambda 添加到 VPC不会通过您的 VPC 将流量引导至 Lambda。
\n事实上,Lambda是通过Lambda API服务端点调用的,因此入站评估规则不会对其产生任何影响。驻留在 VPC 中的 Lambda 的目的是访问 VPC 资源。
\n技术实现是在您的 VPC 中创建 ENI,连接到共享 AWS VPC 中的 Lambda 函数。Lambda 能够从其共享 VPC 路由出去以连接到资源。
\n\n\n当您将 Lambda 函数配置为连接到您自己的 VPC 时,它会在您的 VPC 中创建一个弹性网络接口,然后执行跨账户附件。这些网络接口允许从您的 Lambda 函数对您的私有资源进行网络访问。这些 Lambda 函数继续在 Lambda 服务\xe2\x80\x99s VPC 内部运行,现在只能通过您的 VPC 访问网络上的资源。
\n
您需要通过使用AWS WAF(使用IPSet)在 CloudFront 级别添加这些 IP 白名单,或者通过 API 网关作为 WAF 或策略(如上所述)。
\n这就是为什么将我的 Lambda 连接到 VPC(2 个私有子网和安全组)
将 lambda 函数放置在 VPC 中并为其指定安全组不会影响API 网关是否可以调用它。
API网关不使用VPC中lambda的弹性网络接口(ENI)来调用它。它是使用 Lambda 服务端点完成的。
您可以使用 WAF 来控制对 CloudFront 分配的访问:
| 归档时间: |
|
| 查看次数: |
9943 次 |
| 最近记录: |