能够在 VPC 中使用 WAF 或 运行 Lambda 将 AWS Lambda 函数列入白名单
Ability to whitelist AWS Lambda function with WAF or run Lambda in a VPC
我正在使用 LambStatus 创建一个状态页面 https://lambstatus.github.io/ 并希望通过 cloudwatch 警报自动更新组件的状态。我必须限制状态页面的流量。我目前只有来自 VPN 或我们的 VPC IP 地址的流量被列入白名单。在一个完美的世界中,cloudwatch 警报触发 SNS ----> Lambda 函数 ---> 卷曲 API 端点以更新组件。
我需要将 Lambda 放在 VPC 中,以便 HTTPS 补丁来自一组 IP 地址,或者发现其他一些将 VPC 列入白名单的方法。
Lambda 函数可以访问 VPC 资源,但仍存在于默认 VPC 中。我是否可以控制 lambda 函数的 IP 地址或有什么方法可以将 lambda 请求列入白名单?
如果您打算使用 WAF,由于 Lambda 使用 EC2 范围内的 IP 地址,因此您需要在 CURL 中添加显式 header,并且仅当 header 为当前的。
既然你提到了 WAF,我假设 API 端点是一个 public 端点并且可以通过 Public IP 地址访问。
在这种情况下,最好的选择是在 VPC 中使用 Lambda。
Lambda 在 VPC 环境中与 Public IP 通信,需要启动私有子网,您可以选择具有到 NAT 网关的默认路由的子网,NAT 网关需要弹性 IP 地址,因此所有流量来自 Lambda 的请求将通过 NAT 网关,您可以将 NAT 网关 IP 列入白名单。
我不建议使用 NAT 实例,因为我不知道实例类型和请求数量。
我正在使用 LambStatus 创建一个状态页面 https://lambstatus.github.io/ 并希望通过 cloudwatch 警报自动更新组件的状态。我必须限制状态页面的流量。我目前只有来自 VPN 或我们的 VPC IP 地址的流量被列入白名单。在一个完美的世界中,cloudwatch 警报触发 SNS ----> Lambda 函数 ---> 卷曲 API 端点以更新组件。
我需要将 Lambda 放在 VPC 中,以便 HTTPS 补丁来自一组 IP 地址,或者发现其他一些将 VPC 列入白名单的方法。
Lambda 函数可以访问 VPC 资源,但仍存在于默认 VPC 中。我是否可以控制 lambda 函数的 IP 地址或有什么方法可以将 lambda 请求列入白名单?
如果您打算使用 WAF,由于 Lambda 使用 EC2 范围内的 IP 地址,因此您需要在 CURL 中添加显式 header,并且仅当 header 为当前的。
既然你提到了 WAF,我假设 API 端点是一个 public 端点并且可以通过 Public IP 地址访问。
在这种情况下,最好的选择是在 VPC 中使用 Lambda。 Lambda 在 VPC 环境中与 Public IP 通信,需要启动私有子网,您可以选择具有到 NAT 网关的默认路由的子网,NAT 网关需要弹性 IP 地址,因此所有流量来自 Lambda 的请求将通过 NAT 网关,您可以将 NAT 网关 IP 列入白名单。 我不建议使用 NAT 实例,因为我不知道实例类型和请求数量。