如何从lambda访问公有RDS实例并且不用将RDS安全组添加0.0.0.0/0来源的入站规则而降低安全性

0

【以下的问题经过翻译处理】 我有一个Lambda函数,想从另一个账号调用RDS。RDS是一个公有实例,但是已经配置了安全组规则,出于安全考虑不允许任意地址的访问。另一方面,Lambda函数不在VPC模式下,因此没有关联的静态IP地址可以在RDS的SG入站规则中进行配置。

另一方面,对于VPC对等连接的方法,Lambda函数没有私有IP地址,在这篇博客中https://aws.amazon.com/premiumsupport/knowledge-center/rds-ip-address-issues/,它说 - 当您尝试从同一VPC内的资源连接到您的数据库实例时,您的RDS终端节点自动解析为私有IP地址。当您从VPC外或互联网连接到数据库实例时,终端节点会解析为公共IP地址。

如何从Lambda函数调用公有RDS而不更改SG的入站源为0.0.0.0/0?

1 Antwort
0

【以下的回答经过翻译处理】 我建议将数据库保持私有,将函数附加到VPC上(我假设其不是DB相同的VPC),对两个VPC进行对等连接。为Lambda附加的子网设置一个小的CIDR块,并将SG设置为允许该子网。 另一种选择是将函数附加到VPC上,并通过可以拥有EIP的NAT网关连接到DB。

profile picture
EXPERTE
beantwortet vor 8 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen