从私有子网中的 lambda 访问 AWS 服务
Accessing AWS services from a lambda in a private subnet
我正在开发一个与 RDS 中的数据库一起工作的无服务器应用程序。出于安全原因,应用程序 (Lambda) 和数据库都位于 VPC 的私有子网中。
我还想从应用程序访问 AWS 服务 - 例如,我想访问秘密管理器以获取数据库凭据,在 EventBridge 中放置规则并使用 STS 服务。
我知道我可以使用 VPC 端点并在我的 VPC 中为每个感兴趣的服务部署接口端点。
我的问题如下 - 应用程序位于私有子网中的唯一原因是数据库访问。为什么我不应该创建另一个 lambda,它不是我的 VPC,并且可以轻松免费地访问这些服务并从我的主应用程序中调用它?
有哪些安全风险?我错过了什么?
谢谢
如果我没理解错的话,您可能希望创建另一个在 VPC 外部运行的 Lambda,并由 VPC 内部的 Lambda 调用。
你当然可以这样做,但这也需要有一个 NAT 网关来访问外部 Lambda 或 Lambda 的 VPC 端点 control-plane。此外,您将为每个单独的 Lambda 调用支付双倍费用,并且您还需要关注 Lambda 的 运行 时间。
can access these services easily and for free
AWS 中没有真正免费的东西。您必须为 VPC 端点使用的 ENI 或 NAT 网关付费。还有 Lambda 调用。
What are the security risks?
Security-wise,你并没有遗漏任何东西。
我正在开发一个与 RDS 中的数据库一起工作的无服务器应用程序。出于安全原因,应用程序 (Lambda) 和数据库都位于 VPC 的私有子网中。 我还想从应用程序访问 AWS 服务 - 例如,我想访问秘密管理器以获取数据库凭据,在 EventBridge 中放置规则并使用 STS 服务。 我知道我可以使用 VPC 端点并在我的 VPC 中为每个感兴趣的服务部署接口端点。
我的问题如下 - 应用程序位于私有子网中的唯一原因是数据库访问。为什么我不应该创建另一个 lambda,它不是我的 VPC,并且可以轻松免费地访问这些服务并从我的主应用程序中调用它? 有哪些安全风险?我错过了什么?
谢谢
如果我没理解错的话,您可能希望创建另一个在 VPC 外部运行的 Lambda,并由 VPC 内部的 Lambda 调用。
你当然可以这样做,但这也需要有一个 NAT 网关来访问外部 Lambda 或 Lambda 的 VPC 端点 control-plane。此外,您将为每个单独的 Lambda 调用支付双倍费用,并且您还需要关注 Lambda 的 运行 时间。
can access these services easily and for free
AWS 中没有真正免费的东西。您必须为 VPC 端点使用的 ENI 或 NAT 网关付费。还有 Lambda 调用。
What are the security risks?
Security-wise,你并没有遗漏任何东西。